Snake Keylogger - Nowy wariant, który unika systemów zabezpieczeń

Snake Keylogger to "typowy keylogger" czyli rodzaj złośliwego oprogramowania, którego głównym celem jest przechwytywanie i kradzież danych wprowadzanych przez użytkownika za pomocą klawiatury.

Co to oznacza w praktyce? A to, że może rejestrować wszystko, co piszesz – od haseł, przez wiadomości e-mail, po dane bankowe. Pierwsze wersje Snake Keylogger pojawiły się w 2020 roku, a od tego czasu jego autorzy nieustannie rozwijają jego funkcjonalności, czyniąc go bardziej wyrafinowanym, a co gorsze - trudniejszym do wykrycia.

W świecie cyber nie chodzi o to, czy atak nastąpi (ponieważ na 99% nastąpi) , ale kiedy i jak będzie przebiegał. 

Tym razem autorzy Snake'a postawili na sprytne obejście mechanizmów wykrywania, wykorzystując język skryptowy AutoIt. Tak, dobrze czytasz – narzędzie automatyzacji, które wielu z nas zna i wykorzystuje do usprawnienia pracy, stało się pożywką dla złośliwego oprogramowania.Dlatego też nowy wariant Snake Keylogger jest trudniejszy do wykrycia, ponieważ standardowe skanery mają problem z jego analizą.

Jak to działa? AutoIt pozwala na kompilację skryptów do postaci plików wykonywalnych, dzięki czemu kod Snake Keyloggera zostaje ukryty w pozornie nieszkodliwym skrypcie. To utrudnia analizę statyczną, a dodatkowo pozwala na dynamiczne działanie, które na pierwszy rzut oka wygląda jak standardowa automatyzacja systemowa. 

Przyznajcie sami – sprytne, nie? :) 

Atak rozpoczyna się od wiadomości phishingowej (klasyka gatunku) zawierającej złośliwy załącznik lub link. Po otwarciu załącznika lub kliknięciu linku, na komputerze uruchamiany jest skrypt AutoIt. Zobaczmy co on robi: 

Skrypt tworzy kopię samego siebie pod nazwą "ageless.exe" w %LocalAppData% oraz dodaje plik "ageless.vbs" do folderu autostartu systemu Windows. Dzięki temu malware uruchamia się automatycznie przy każdym starcie systemu.

Następnie, za pomocą techniki zwanej process hollowing, złośliwy kod jest wstrzykiwany do procesu systemowego "regsvcs.exe". Ta technika pozwala na ukrycie aktywności malware'u przed oprogramowaniem antywirusowym. Zainfekowany system nie wykrywa nieznanego procesu, bo malware działa w obrębie legalnego regsvcs.exe

Oprogramowanie resetuje każdy naciśnięty klawisz. wykorzystując API SetWindowsHookEx z użyciem WH_KEYBOARD_LL, co umożliwia przechwytywanie nawet haseł bankowych.

Wyciąga adres IP oraz geolokalizację ofiary, korzystając z witryn takich jak checkip.dyndns.org.

A na samym końcu przesyła skradzione dane do serwera, używając protokołu SMTP lub (uwaga) botów Telegrama.

Wykorzystanie AutoIt przez twórców Snake Keylogger nie jest przypadkowe.

AutoIt pozwala na tworzenie skryptów automatyzujących różne zadania w systemie Windows, co samo w sobie jest legalne i często używane przez administratorów systemów. Jednak w rękach cyberprzestępców staje się narzędziem do ukrywania złośliwego kodu. Kompilacja skryptu AutoIt do postaci pliku wykonywalnego utrudnia jego analizę statyczną, a dynamiczne zachowanie skryptu może naśladować legalne procesy, co dodatkowo utrudnia wykrycie przez systemy bezpieczeństwa.

1. Phishing pozostaje głównym wektorem ataku a człowiek najsłabszym ogniwem. Jeśli coś wygląda podejrzanie, to prawdopodobnie jest podejrzane.

2. Blokowanie AutoIt w środowisku korporacyjnym – jeśli nie jest używane, warto ograniczyć jego uruchamianie.

Monitorowanie systemu – aktywność regsvcs.exe i podobnych procesów warto bacznie obserwować.

4. Zaawansowana analiza behawioralna – tradycyjne antywirusy mogą nie wystarczyć, ale rozwiązania EDR i XDR już tak.

5. Blokowanie komunikacji zewnętrznej malware – Snake Keylogger często wysyła dane na serwery Telegrama, więc warto monitorować ruch sieciowy.