Une nouvelle variante du malware de Keylogger Snake est utilisée pour cibler activement les utilisateurs de Windows situés en Chine, en Turquie, en Indonésie, en Taïwan et en Espagne.
Fortinet Fortiguard Labs a déclaré que la nouvelle version du malware était à derrière plus de 280 millions de tentatives d’infection bloquées dans le monde depuis le début de l’année.
“Généralement livré via des e-mails de phishing contenant des pièces jointes malveillantes ou des liens, Snake Keylogger est conçu pour voler des informations sensibles à des navigateurs Web populaires comme Chrome, Edge et Firefox en enregistrant les touches, en capturant les informations d’identification et en surveillant le presse-papiers”, a déclaré Kevin Su. Kevin Su. Kevin Su. dit.
Ses autres fonctionnalités lui permettent d’exfiltrer les informations volées à un serveur contrôlé par l’attaquant à l’aide du protocole de transfert de courrier simple (SMTP) et des bots télégrammes, permettant aux acteurs de la menace d’accéder aux informations d’identification volées et d’autres données sensibles. “
Ce qui est notable dans le dernier ensemble d’attaques, c’est qu’il utilise le langage de script AutOIT pour livrer et exécuter la charge utile principale. En d’autres termes, l’exécutable contenant les logiciels malveillants est un binaire compilé automatiquement, lui permettant ainsi de contourner les mécanismes de détection traditionnels.
“L’utilisation d’AutOIT complique non seulement l’analyse statique en intégrant la charge utile dans le script compilé, mais permet également un comportement dynamique qui imite les outils d’automatisation bénin”, a ajouté SU.
Une fois lancé, Snake Keylogger est conçu pour déposer une copie de lui-même dans un fichier nommé “Ageless.exe” dans le dossier “% local_appdata% supergroup”. Il continue également à supprimer un autre fichier appelé “Ageless.vbs” dans le dossier de démarrage Windows de sorte que le script Visual Basic (VBS) lance automatiquement le malware chaque fois que le système est redémarré.
Grâce à ce mécanisme de persistance, Snake Keylogger est capable de maintenir l’accès au système compromis et de reprendre ses activités malveillantes même si le processus associé est terminé.
La chaîne d’attaque culmine avec l’injection de la charge utile principale dans un processus .NET légitime tel que “Regsvcs.exe” en utilisant une technique appelée procédé creux, permettant au malware de cacher sa présence dans un processus de confiance et de contourner la détection.
Snake Keylogger s’est également avéré enregistrer des touches et utiliser des sites Web comme Checkip.Dyndns[.]org pour récupérer l’adresse IP et la géolocalisation de la victime.
“Pour capturer des touches, il exploite l’API SetWindowshooKex avec le premier paramètre défini sur WH_KEYBOARD_LL (Flag 13), un crochet de clavier de bas niveau qui surveille les touches”, a déclaré Su. “Cette technique permet aux logiciels malveillants de enregistrer les entrées sensibles telles que les informations d’identification bancaires.”
Le développement intervient alors que CloudSek a détaillé une campagne qui exploite l’infrastructure compromise associée aux établissements d’enseignement pour distribuer des fichiers LNK malveillants déguisés en documents PDF pour déployer finalement le malware Lumma Stealer.
L’activité, ciblant les industries comme la finance, les soins de santé, la technologie et les médias, est une séquence d’attaque en plusieurs étapes qui se traduit par le vol de mots de passe, de données de navigateur et de portefeuilles de crypto-monnaie.
“Le vecteur d’infection primaire de la campagne implique d’utiliser des fichiers LNK (raccourci) malveillants qui sont fabriqués pour apparaître comme des documents PDF légitimes”, cherche à être en sécurité Mayank Sahariya ditl’ajout des fichiers est hébergé sur un serveur WebDAV que les visiteurs sans méfiance sont redirigées après les sites visitants.
Le fichier LNK, pour sa part, exécute une commande PowerShell pour se connecter à un serveur distant et récupérer le malware malveillant, un code JavaScript obscurci qui abrite un autre PowerShell qui télécharge Lumma Stealer du même serveur et l’exécute.
Ces dernières semaines, des logiciels malveillants de voleur ont également été observés distribués via Fichiers JavaScript obscurcis Pour récolter un large éventail de données sensibles, des systèmes Windows compromis et l’exfiltrer à un bot télégramme exploité par l’attaquant.
“L’attaque commence par un fichier JavaScript obscurci, qui récupère les chaînes codées d’un service open source pour exécuter un script PowerShell”, Cyfirma dit.
“Ce script télécharge ensuite une image JPG et un fichier texte à partir d’une adresse IP et d’un raccourcissement d’URL, qui contiennent tous deux des exécutables MZ DOS malveillants intégrés à l’aide de techniques stéganographiques. Une fois exécutées, ces charges utiles déploient des logiciels malveillants de voleur.”




