Uma nova variante do malware Snake Keylogger está sendo usada para atacar ativamente usuários do Windows localizados na China, Turquia, Indonésia, Taiwan e Espanha.
A Fortinet FortiGuard Labs disse que a nova versão do malware esteve por trás de mais de 280 milhões de tentativas de infecção bloqueadas mundialmente desde o início do ano.
"Tipicamente entregue através de e-mails de phishing que contêm anexos maliciosos ou links, o Snake Keylogger é projetado para roubar informações sensíveis de navegadores web populares como Chrome, Edge e Firefox, registrando as teclas digitadas, capturando credenciais e monitorando a área de transferência (clipboard)," disse o pesquisador de segurança Kevin Su.
Suas outras funcionalidades permitem que ele exfiltre as informações roubadas para um servidor controlado pelo atacante usando o Protocolo Simples de Transferência de Correio (SMTP) e bots do Telegram, permitindo que os atores da ameaça acessem credenciais roubadas e outros dados sensíveis.
O que é notável sobre o conjunto mais recente de ataques é que ele faz uso da linguagem de script AutoIt para entregar e executar o payload principal.
Em outras palavras, o executável que contém o malware é um binário compilado pelo AutoIt, permitindo assim que ele contorne mecanismos tradicionais de detecção.
"O uso do AutoIt não apenas complica a análise estática ao embutir o payload dentro do script compilado, mas também possibilita um comportamento dinâmico que imita ferramentas de automação benignas," acrescentou Su.
Uma vez lançado, o Snake Keylogger é projetado para criar uma cópia de si mesmo em um arquivo chamado "ageless.exe" na pasta "%Local_AppData%\supergroup." Ele também prossegue para criar outro arquivo chamado "ageless.vbs" na pasta de Inicialização do Windows de forma que o Script Visual Basic (VBS) inicia automaticamente o malware toda vez que o sistema é reiniciado.
Por meio desse mecanismo de persistência, o Snake Keylogger é capaz de manter acesso ao sistema comprometido e retomar suas atividades maliciosas mesmo se o processo associado for terminado.
A cadeia de ataque culmina com a injeção do payload principal em um processo .NET legítimo como "regsvcs.exe" usando uma técnica chamada processo hollowing, permitindo que o malware oculte sua presença dentro de um processo confiável e evite a detecção.
O Snake Keylogger também foi encontrado registrando teclas digitadas e usando sites como checkip.dyndns[.]org para recuperar o endereço IP da vítima e a geolocalização.
"Para capturar as teclas digitadas, ele utiliza a API SetWindowsHookEx com o primeiro parâmetro definido para WH_KEYBOARD_LL (flag 13), um gancho de teclado de baixo nível que monitora as teclas digitadas," disse Su.
Esta técnica permite que o malware registre entradas sensíveis, como credenciais bancárias. Este desenvolvimento vem à medida que a CloudSEK detalhou uma campanha que está explorando infraestrutura comprometida associada a instituições educacionais para distribuir arquivos LNK maliciosos disfarçados de documentos PDF para, em última análise, implantar o malware Lumma Stealer.
A atividade, que tem como alvo indústrias como finanças, saúde, tecnologia e mídia, é uma sequência de ataque em várias etapas que resulta no roubo de senhas, dados de navegador e carteiras de criptomoedas.
"O vetor de infecção primário da campanha envolve o uso de arquivos LNK (atalho) maliciosos que são elaborados para parecerem documentos PDF legítimos," disse o pesquisador de segurança Mayank Sahariya, acrescentando que os arquivos estão hospedados em um servidor WebDAV para o qual visitantes desavisados são redirecionados após visitarem sites.
O arquivo LNK, por sua vez, executa um comando PowerShell para se conectar a um servidor remoto e recuperar o malware da próxima etapa, um código JavaScript ofuscado que abriga outro PowerShell que baixa o Lumma Stealer do mesmo servidor e o executa.
Nas últimas semanas, malwares stealers também foram observados sendo distribuídos via arquivos JavaScript ofuscados para colher uma ampla gama de dados sensíveis de sistemas Windows comprometidos e exfiltrá-los para um bot do Telegram operado pelo atacante.
"O ataque começa com um arquivo JavaScript ofuscado, que busca strings codificadas de um serviço de código aberto para executar um script PowerShell," disse a Cyfirma.
Esse script então baixa uma imagem JPG e um arquivo de texto de um endereço IP e um encurtador de URL, ambos contendo executáveis maliciosos MZ DOS embutidos usando técnicas de esteganografia.
Uma vez executados, esses payloads implantam malwares stealers.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...