Varian baru malware ular Keylogger digunakan untuk secara aktif menargetkan pengguna Windows yang berlokasi di Cina, Turki, Indonesia, Taiwan, dan Spanyol.
Fortinet Fortiguard Labs mengatakan versi baru malware telah di belakang lebih dari 280 juta upaya infeksi yang diblokir di seluruh dunia sejak awal tahun.
“Biasanya dikirim melalui email phishing yang berisi lampiran atau tautan jahat, Snake Keylogger dirancang untuk mencuri informasi sensitif dari browser web populer seperti Chrome, Edge, dan Firefox dengan mencatat penekanan tombol, menangkap kredensial, dan memantau clipboard,” kata peneliti keamanan Kevin Su.
Fitur-fitur lainnya memungkinkannya untuk mengeluarkan informasi yang dicuri ke server yang dikendalikan oleh penyerang menggunakan protokol transfer surat sederhana (SMTP) dan bot telegram, yang memungkinkan aktor ancaman untuk mengakses kredensial curian dan data sensitif lainnya. “
Yang penting tentang rangkaian serangan terbaru adalah memanfaatkan bahasa skrip autoit untuk mengirimkan dan menjalankan muatan utama. Dengan kata lain, yang dapat dieksekusi yang mengandung malware adalah biner yang dikompilasi secara autoit, sehingga memungkinkannya untuk memotong mekanisme deteksi tradisional.
“Penggunaan Autoit tidak hanya memperumit analisis statis dengan menanamkan muatan dalam skrip yang dikompilasi tetapi juga memungkinkan perilaku dinamis yang meniru alat otomatisasi jinak,” tambah Su.
Setelah diluncurkan, Snake Keylogger dirancang untuk menjatuhkan salinan itu sendiri ke file bernama “Ageless.exe” di folder “%local_appdata%\ supergroup.” Ini juga mulai menjatuhkan file lain yang disebut “Ageless.vbs” di folder startup Windows sedemikian rupa sehingga skrip Visual Basic (VBS) secara otomatis meluncurkan malware setiap kali sistem di -boot ulang.
Melalui mekanisme kegigihan ini, Snake Keylogger mampu mempertahankan akses ke sistem yang dikompromikan dan melanjutkan aktivitas berbahaya bahkan jika proses terkait diakhiri.
Rantai serangan memuncak dengan suntikan muatan utama ke dalam proses .NET yang sah seperti “Regsvcs.exe” menggunakan teknik yang disebut proses pelindung, memungkinkan malware untuk menyembunyikan keberadaannya dalam proses tepercaya dan deteksi sidestep.
Keylogger ular juga telah ditemukan untuk mencatat penekanan tombol dan menggunakan situs web seperti checkip.dyndns[.]org untuk mengambil alamat IP dan geolokasi korban.
“Untuk menangkap penekanan tombol, ini memanfaatkan API SetWindowShookex dengan parameter pertama yang diatur ke WH_KEYBOARD_LL (Flag 13), kait keyboard tingkat rendah yang memantau penekanan tombol,” kata Su. “Teknik ini memungkinkan malware untuk mencatat input sensitif seperti kredensial perbankan.”
Perkembangan ini datang ketika Cloudsek merinci kampanye yang mengeksploitasi infrastruktur yang dikompromikan yang terkait dengan lembaga pendidikan untuk mendistribusikan file LNK berbahaya yang disamarkan sebagai dokumen PDF untuk akhirnya menggunakan malware pencuri Lumma.
Aktivitas, menargetkan industri seperti keuangan, perawatan kesehatan, teknologi, dan media, adalah urutan serangan multi-tahap yang menghasilkan pencurian kata sandi, data browser, dan dompet cryptocurrency.
“Vektor infeksi utama kampanye melibatkan penggunaan file LNK (jalan pintas) berbahaya yang dibuat untuk tampil sebagai dokumen PDF yang sah,” kata peneliti keamanan Mayak Sahariya, menambahkan file -file tersebut di -host di server WebDAV yang dialihkan oleh pengunjung yang tidak curiga ke tempat kunjungan.
File LNK, untuk bagiannya, mengeksekusi perintah PowerShell untuk terhubung ke server jarak jauh dan mengambil malware tahap berikutnya, kode JavaScript yang dikalahkan yang memiliki PowerShell lain yang mengunduh Lumma Stealer dari server yang sama dan mengeksekusi.
Dalam beberapa minggu terakhir, pencuri malware juga telah diamati didistribusikan melalui file JavaScript yang dikalahkan untuk memanen berbagai data sensitif dari sistem Windows yang dikompromikan dan mengeksfiltrasi ke bot telegram yang dioperasikan oleh penyerang.
“Serangan itu dimulai dengan file JavaScript yang dikaburkan, yang mengambil string yang dikodekan dari layanan open-source untuk mengeksekusi skrip PowerShell,” kata Cyfirma.
“Script ini kemudian mengunduh gambar JPG dan file teks dari alamat IP dan pemendekan URL, yang keduanya berisi eksekutif MZ DOS yang berbahaya yang tertanam menggunakan teknik steganografi. Setelah dieksekusi, payload ini menggunakan malware stealer.”
