Snake キーロガーの亜種

Snake Keylogger の新しい亜種が、中国、トルコ、インドネシア、台湾、スペインの Windows ユーザーを積極的にターゲットにしています。研究者たちはこの新しいバージョンを追跡し、今年初め以来世界中で驚くべき 2 億 8,000 万件の感染試行と関連付け、その影響が広範囲に及ぶことを浮き彫りにしました。

フィッシングの罠: スネーク キーロガーの拡散方法

Snake Keyloggerの主な配信方法は、脅迫的な添付ファイルやリンクが埋め込まれたフィッシング メールです。このマルウェアは、ユーザーがこれらの偽のメールに反応すると、疑いを持たないユーザーのシステムにアクセスします。このマルウェアは、Chrome、Edge、Firefox などの広く使用されている Web ブラウザーから機密データを収集することに重点を置いています。このマルウェアは、キーストロークを記録し、ログイン認証情報をキャプチャし、クリップボードのアクティビティを監視することでこれを実現します。

非伝統的なチャネルを通じてデータを盗み出す

Snake Keylogger は、情報収集だけに留まらず、盗んだデータが通常とは異なる経路で攻撃者に届くようにします。盗み出した認証情報や機密情報は、Simple Mail Transfer Protocol (SMTP) または Telegram ボットを通じて送信されます。これらの方法を利用することで、マルウェアは、従来のセキュリティ対策を回避し、盗んだ情報を攻撃者が管理するサーバーに継続的に送信します。

AutoIt: 賢い回避テクニック

この最新の攻撃の特徴は、主要なペイロードを実行するために AutoIt スクリプト言語を使用していることです。マルウェアは AutoIt でコンパイルされたバイナリ内に埋め込まれているため、従来の検出メカニズムを回避できます。このアプローチにより、静的分析が困難になるだけでなく、正規の自動化ツールを忠実に模倣する動的動作が可能になり、マルウェアの存在がさらに隠蔽されます。

侵害されたシステムでの永続性の確立

Snake Keylogger は、実行されると、感染したシステム上でアクティブな状態を維持します。「ageless.exe」という自身のコピーを「%Local_AppData%\supergroup」ディレクトリにドロップします。また、足場を強化するために、「ageless.vbs」という Visual Basic Script (VBS) ファイルを Windows スタートアップ フォルダに配置します。これにより、システムが再起動するたびにマルウェアが自動的に再起動し、プロセスが終了してもマルウェアが存続できるようになります。

プロセスの空洞化：明白な視界に隠れている

攻撃の最終段階では、プロセス ホロウイングと呼ばれる手法を使用して、プライマリ ペイロードを「regsvcs.exe」などの正当な .NET プロセスに挿入します。これにより、Snake Keylogger は信頼できるプロセスを装って動作できるため、検出が著しく困難になります。

キー入力の記録と被害者の追跡

Snake Keylogger は、認証情報の盗難だけでなく、キーストロークを記録してユーザーのアクティビティも監視します。キーストロークをキャプチャするために設計された低レベルのキーボード フックである WH_KEYBOARD_LL フラグ (フラグ 13) を指定した SetWindowsHookEx API を活用します。この方法により、銀行の詳細やパスワードなどの機密入力を記録できます。さらに、マルウェアは checkip.dyndns.org などの外部サービスを使用して被害者の IP アドレスと位置情報を特定し、データ収集機能をさらに強化します。

持続的かつ進化する脅威

Snake Keylogger の復活は、サイバー脅威の進化を浮き彫りにしています。AutoIt スクリプトやプロセス ハローイングなどの新しい手法を活用して、膨大な数のシステムを侵害しながら検出を回避し続けています。この手法について常に情報を入手し、電子メールの取り扱いに注意を払うことは、この根強い脅威に関連するリスクを軽減する上で依然として重要です。