(https://i.postimg.cc/BQSVd6P0/Malware-3.png) (https://postimg.cc/pySCjPBG)
Los investigadores de ciberseguridad de FortiGuard Labs han descubierto una nueva variante del Snake Keylogger, también conocido como 404 Keylogger, que ataca a los usuarios de Windows. Según su investigación, compartida, este malware se denomina AutoIt/Injector.GTY!tr y se ha relacionado con más de 280 millones de intentos de infección bloqueados en todo el mundo, concentrados principalmente en China, Turquía, Indonesia, Taiwán y España.
Los investigadores señalan que esta variante de Snake Keylogger normalmente se propaga a través de correos electrónicos de phishing que contienen archivos adjuntos o enlaces maliciosos. Se dirige a navegadores web populares como Chrome, Edge y Firefox, robando información confidencial como credenciales y datos mediante el registro de pulsaciones de teclas, la captura de credenciales y la supervisión del portapapeles. Los datos robados se filtran luego a su servidor de comando y control (C2) a través de correo electrónico (SMTP) y bots de Telegram.
Según el informe técnico de FortiGuard Labs, el malware emplea AutoIt, un lenguaje de programación que se utiliza con frecuencia para la automatización de Windows, para entregar y ejecutar su carga útil maliciosa. AutoIt puede crear ejecutables independientes que pueden eludir las soluciones antivirus estándar, mientras que el binario compilado por AutoIt agrega una capa de ofuscación, lo que hace que la detección y el análisis sean más desafiantes.
Durante el ataque, el malware coloca una copia de sí mismo como "ageless.exe" en la carpeta %Local_AppData%\supergroup con atributos ocultos y coloca "ageless.vbs" en la carpeta %Startup%. Este script utiliza WScript.Shell() para ejecutar "ageless.exe" al iniciar el sistema, lo que garantiza la persistencia. Este método se utiliza comúnmente porque la carpeta de inicio de Windows permite que los scripts se ejecuten sin privilegios administrativos.
Después de ejecutar "ageless.exe", el malware inyecta su carga útil maliciosa en un proceso .NET legítimo, "RegSvcs.exe", mediante el vaciado de procesos, que implica suspender "RegSvcs.exe", desasignar su código original, asignar nueva memoria e inyectar la carga útil maliciosa. Al reanudarse, el proceso ejecuta el código inyectado, lo que permite que el malware se oculte dentro de un proceso confiable, evadiendo la detección.
Snake Keylogger recupera la geolocalización de la víctima mediante sitios web como checkipdyndnsorg y extrae credenciales robadas a través de bots SMTP y Telegram mediante solicitudes HTTP Post. Además, el malware puede detectar el acceso a carpetas que contienen credenciales de inicio de sesión del navegador y otros datos confidenciales. Utiliza módulos para robar datos de los sistemas de autocompletado del navegador, incluidos los detalles de la tarjeta de crédito, y captura las pulsaciones de teclas mediante la API SetWindowsHookEx con el indicador WH_KEYBOARD_LL, lo que le permite registrar la entrada confidencial.
La imagen muestra las diversas técnicas que Snake Keylogger emplea durante el ataque, incluidas la recopilación, el acceso a credenciales, la evasión de defensa, la exfiltración, el movimiento lateral, la escalada de privilegios, el reconocimiento y el desarrollo de recursos, etc., lo que proporciona una descripción general concisa de las diversas capacidades maliciosas de Snake Keylogger.
Snake Keylogger MITRE ATT&CK Matrix – Fuente Fortinet
(https://i.postimg.cc/1X84XswQ/Keylogger-MITRE-ATT-CK-Matrix.png) (https://postimg.cc/xNS9Fr6x)
Se trata de una variante sofisticada y con muchas funciones, que supone una amenaza para los usuarios de Windows en todo el mundo. Las organizaciones y los particulares utilizan una combinación de protección avanzada contra amenazas y medidas de seguridad proactivas para defenderse de esta y otras amenazas emergentes de keyloggers.
Fuente:
HackRead
https://hackread.com/snake-keylogger-variant-windows-data-telegram-bots/