Se est\u00e1 utilizando una nueva variante del malware de Keylogger de serpiente para dirigirse activamente a los usuarios de Windows ubicados en China, Turqu\u00eda, Indonesia, Taiw\u00e1n y Espa\u00f1a.<\/p>\n
Fortinet Fortiguard Labs dijo que la nueva versi\u00f3n del malware ha estado detr\u00e1s de m\u00e1s de 280 millones de intentos de infecci\u00f3n bloqueados en todo el mundo desde el comienzo del a\u00f1o.<\/p>\n
“Por lo general, entregados a trav\u00e9s de correos electr\u00f3nicos de phishing que contienen archivos adjuntos o enlaces maliciosos, Snake Keylogger est\u00e1 dise\u00f1ado para robar informaci\u00f3n confidencial de navegadores web populares como Chrome, Edge y Firefox mediante el registro de pulsaciones de teclas, capturando credenciales y monitoreando el portapapeles,” Investigador de seguridad Kevin Su. dicho<\/a>.<\/p>\n Sus otras caracter\u00edsticas le permiten exfiltrarse la informaci\u00f3n robada a un servidor controlado por el atacante utilizando el protocolo de transferencia de correo simple (SMTP) y los bots de telegrama, lo que permite a los actores de amenaza acceder a credenciales robadas y otros datos confidenciales “.<\/p>\n Lo notable del \u00faltimo conjunto de ataques es que utiliza el lenguaje de secuencias de comandos Autoit para entregar y ejecutar la carga \u00fatil principal. En otras palabras, el ejecutable que contiene el malware es un binario compilado por autom\u00f3viles, lo que le permite evitar los mecanismos de detecci\u00f3n tradicionales.<\/p>\n “El uso de Autoit no solo complica el an\u00e1lisis est\u00e1tico al incorporar la carga \u00fatil dentro del script compilado, sino que tambi\u00e9n permite un comportamiento din\u00e1mico que imita las herramientas de automatizaci\u00f3n benignas”, agreg\u00f3 Su.<\/p>\n Una vez lanzado, Snake Keylogger est\u00e1 dise\u00f1ado para soltar una copia de s\u00ed misma a un archivo llamado “Ageless.exe” en la carpeta “%local_appdata% SuperGroup”. Tambi\u00e9n procede a soltar otro archivo llamado “Ageless.vbs” en la carpeta de inicio de Windows de modo que el script de Visual Basic (VBS) inicie autom\u00e1ticamente el malware cada vez que se reinicia el sistema.<\/p>\n A trav\u00e9s de este mecanismo de persistencia, el keylogger de serpiente es capaz de mantener el acceso al sistema comprometido y reanudar sus actividades maliciosas, incluso si el proceso asociado se termina.<\/p>\n La cadena de ataque culmina con la inyecci\u00f3n de la carga \u00fatil principal en un proceso .NET leg\u00edtimo, como “regsvcs.exe” utilizando una t\u00e9cnica llamada proceso de hueco, lo que permite que el malware oculte su presencia dentro de un proceso confiable y detecci\u00f3n de lado.<\/p>\n Tambi\u00e9n se ha encontrado que Snake Keylogger registra teclas y usa sitios web como checkip.dydns[.]Org para recuperar la direcci\u00f3n IP y la geolocalizaci\u00f3n de la v\u00edctima.<\/p>\n “Para capturar pulsaciones de teclas, aprovecha la API setWindowshookex con el primer par\u00e1metro establecido en wh_keyboard_ll (Flag 13), un gancho de teclado de bajo nivel que monitorea las teclas”, dijo Su. “Esta t\u00e9cnica permite que el malware registre la entrada sensible, como las credenciales bancarias”.<\/p>\n El desarrollo se produce cuando CloudSek detall\u00f3 una campa\u00f1a que est\u00e1 explotando la infraestructura comprometida asociada con las instituciones educativas para distribuir archivos LNK maliciosos disfrazados de documentos PDF para implementar finalmente el malware del robador de Lumma.<\/p>\n La actividad, dirigida a industrias como las finanzas, la atenci\u00f3n m\u00e9dica, la tecnolog\u00eda y los medios de comunicaci\u00f3n, es una secuencia de ataque de varias etapas que resulta en el robo de contrase\u00f1as, datos del navegador y billeteras de criptomonedas.<\/p>\n “El vector de infecci\u00f3n principal de la campa\u00f1a implica el uso de archivos Maliciosos LNK (atajo) que est\u00e1n dise\u00f1ados para aparecer como documentos PDF leg\u00edtimos”, el investigador de seguridad Mayank Sahariya dicho<\/a>agregando que los archivos est\u00e1n alojados en un servidor WebDav al que los visitantes desprevenidos son redirigidos despu\u00e9s de visitar sitios.<\/p>\n El archivo LNK, por su parte, ejecuta un comando PowerShell para conectarse a un servidor remoto y recuperar el malware de la siguiente etapa, un c\u00f3digo de JavaScript ofuscado que alberga otro PowerShell que descarga Lumma Stealer del mismo servidor y lo ejecuta.<\/p>\n En las \u00faltimas semanas, el malware de Stealer tambi\u00e9n se ha observado distribuido a trav\u00e9s de Archivos de JavaScript ofuscados<\/a> Para cosechar una amplia gama de datos confidenciales de sistemas de Windows comprometidos y exfiltrarse a un bot de telegrama operado por el atacante.<\/p>\n “El ataque comienza con un archivo de JavaScript ofuscado, que obtiene cadenas codificadas de un servicio de c\u00f3digo abierto para ejecutar un script de PowerShell”, Cyfirma dicho<\/a>.<\/p>\n “Este script luego descarga una imagen JPG y un archivo de texto de una direcci\u00f3n IP y un acortador de URL, que contienen MZ MZ DOS Ejecutables integrados utilizando t\u00e9cnicas esteganogr\u00e1ficas. Una vez ejecutadas, estas cargas desplegaron malware de Stealer”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/La-nueva-variante-de-Keylogger-de-serpiente-aprovecha-los-secuencias.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n