Variante de l'enregistreur de frappe Snake
Une nouvelle variante du Snake Keylogger cible activement les utilisateurs Windows en Chine, en Turquie, en Indonésie, à Taiwan et en Espagne. Les chercheurs ont suivi cette nouvelle version et l'ont liée à un nombre alarmant de 280 millions de tentatives d'infection dans le monde depuis le début de l'année, soulignant ainsi son impact à grande échelle.
Table des matières
Le piège du phishing : comment se propage le keylogger Snake
Le principal mode de diffusion du Snake Keylogger reste les e-mails de phishing contenant des pièces jointes ou des liens menaçants. Le malware accède aux systèmes des utilisateurs sans méfiance une fois qu'ils interagissent avec ces e-mails trompeurs. Il se concentre sur la collecte de données sensibles à partir de navigateurs Web largement utilisés tels que Chrome, Edge et Firefox. Il y parvient en enregistrant les frappes au clavier, en capturant les identifiants de connexion et en surveillant l'activité du presse-papiers.
Exfiltration de données via des canaux non conventionnels
Le Snake Keylogger ne se contente pas de collecter des informations : il veille à ce que les données volées parviennent aux attaquants via des canaux non conventionnels. Les informations d'identification et les informations sensibles exfiltrées sont transmises via le protocole SMTP (Simple Mail Transfer Protocol) ou les robots Telegram. En utilisant ces méthodes, le logiciel malveillant maintient un flux constant d'informations volées vers les serveurs contrôlés par les attaquants, contournant ainsi certaines mesures de sécurité traditionnelles.
AutoIt : une technique d’évasion intelligente
Cette dernière vague d’attaques se distingue par l’utilisation du langage de script AutoIt pour exécuter la charge utile principale. Le malware est intégré dans un binaire compilé par AutoIt, ce qui lui permet d’échapper aux mécanismes de détection traditionnels. Cette approche rend non seulement l’analyse statique plus difficile, mais permet également un comportement dynamique qui imite de près les outils d’automatisation légitimes, masquant ainsi davantage sa présence.
Établir la persistance sur les systèmes compromis
Une fois exécuté, Snake Keylogger s'assure de rester actif sur le système infecté. Il dépose une copie de lui-même sous le nom « ageless.exe » dans le répertoire « %Local_AppData%\supergroup ». Pour renforcer son emprise, il place également un fichier Visual Basic Script (VBS) nommé « ageless.vbs » dans le dossier de démarrage de Windows. Cela garantit qu'à chaque redémarrage du système, le malware se relance automatiquement, ce qui lui permet de persister même si ses processus sont terminés.
Processus de creusement : se cacher à la vue de tous
La dernière étape de l'attaque consiste à injecter la charge utile principale dans un processus .NET légitime, tel que « regsvcs.exe », à l'aide d'une technique connue sous le nom de « process Hollowing ». Ce faisant, le Snake Keylogger est capable de fonctionner sous l'apparence d'un processus de confiance, ce qui le rend beaucoup plus difficile à détecter.
Enregistrement des frappes au clavier et suivi des victimes
Au-delà du vol d'identifiants, Snake Keylogger surveille également l'activité des utilisateurs en enregistrant les frappes au clavier. Il exploite l'API SetWindowsHookEx avec l'indicateur WH_KEYBOARD_LL (indicateur 13), un hook de clavier de bas niveau conçu pour capturer les frappes au clavier. Cette méthode lui permet d'enregistrer les entrées sensibles, notamment les coordonnées bancaires et les mots de passe. De plus, le malware utilise des services externes comme checkip.dyndns.org pour déterminer l'adresse IP et la géolocalisation de la victime, améliorant ainsi encore ses capacités de collecte de données.
Une menace persistante et évolutive
La résurgence du Snake Keylogger souligne la nature évolutive des cybermenaces. En exploitant de nouvelles techniques telles que les scripts AutoIt et le processus creux, il continue d'échapper à la détection tout en compromettant un grand nombre de systèmes. Il est essentiel de rester informé de ses méthodes et de faire preuve de prudence lors du traitement des e-mails pour atténuer les risques associés à cette menace persistante.
