Новая кампания по хищению конфиденциальных данных использует усовершенствованную версию вредоносной программы Snake Keylogger, распространяемую через фишинговые письма, маскирующиеся под легитимные уведомления о платежах от компаний CPA Global и Clarivate. По данным исследователей кибербезопасности, первые случаи заражения были зафиксированы 7 октября 2025 года.
Описание
Злоумышленники применяют сложную схему социальной инженерии, рассылая сообщения с темой "remittance advice for the payment dated 07-Oct-2025". В письмах содержатся краткие тексты с просьбой ознакомиться с прикрепленным документом о платеже, сопровождаемые изображениями, имитирующими корпоративные бланки компаний. Для придания правдоподобности атаки используются поддельные алиасы отправителей, такие как "CPA-Payment Files", и отображаемые имена, ссылающиеся на CPA Global или Clarivate.
Основным вектором атаки выступают вложения в формате ISO или ZIP, содержащие вредоносный BAT-скрипт. При исполнении этот скрипт автоматически запускает последовательность команд PowerShell, которые загружают и выполняют полезную нагрузку Snake Keylogger с удаленного сервера. Использование ISO-контейнеров позволяет злоумышленникам обходить простые политики сканирования, настроенные только на ZIP-архивы, а двухэтапная архитектура атаки значительно осложняет обнаружение угрозы.
Технический анализ показал, что BAT-скрипт исполняет однострочную команду PowerShell, которая скрытно загружает исполняемый файл ключевого шпиона во временную директорию системы и запускает его. Стиль скрытого окна обеспечивает минимальное визуальное обнаружение пользователем. После выполнения Snake Keylogger внедряется в легитимные процессы, такие как explorer.exe или svchost.exe, используя вызовы Windows API для обхода решений защиты конечных точек.
Особенностью данной вредоносной программы является ее компактность - основной исполняемый файл занимает менее 800 КБ, что обеспечивает быструю загрузку и выполнение. Ключевой шпион перехватывает ввод с клавиатуры и данные из буфера обмена, после чего сжимает собранные логи и передает их через HTTP POST-запросы на контролируемую злоумышленниками инфраструктуру. Трафик эксфильтрации маскируется под легитимный за счет использования стандартных HTTP-заголовков и шифрования с помощью кодировки base64.
Для обеспечения устойчивости в системе вредоносная программа создает запланированную задачу с именем "SysUpdate", которая активируется каждый час. Исследователи также обнаружили, что злоумышленники зарегистрировали несколько резервных поддоменов для обеспечения отказоустойчивости подключения к командной инфраструктуре.
Данная кампания наглядно демонстрирует, как сочетание простых методов социальной инженерии со встроенными инструментами Windows, такими как PowerShell, может обеспечить скрытное хищение учетных данных в крупных масштабах. Эксперты по безопасности рекомендуют организациям усилить обучение пользователей по вопросам проверки платежных писем, внедрить надежные политики песочницы для вложений и использовать поведенческие методы обнаружения для выявления вредоносного внедрения в процессы и активности по эксфильтрации данных. Улучшенное логирование запланированных задач и точек сетевого выхода станет критически важным для идентификации и нейтрализации этой угрозы до компрометации конфиденциальной информации.
Индикаторы компрометации
URLs
- http://fxa.sabitaxt.com/mc55tP.ps1
SHA256
- 1bf2e282e0b58814838af57c8792b6147eacedb3f954821b8eea3b79e1f77cb3
- 929fc6575e8ca6b7a657c784254693c4a343e0576bc64a8ba42eac5003796e68
- fb17cc142e92edd5c683c3d53ff8e15f73c67b65df116827f92c9f81c672ec26
