Snake Keylogger атакует нефтяной сектор: злоумышленники используют доверенные Java-утилиты для кражи данных

В условиях нарастающих геополитических конфликтов и нестабильности на энергетических рынках киберпреступники активно используют социальную инженерию для атак на компании и государственные организации. Группа S2 Group обнаружила новую фишинговую кампанию, связанную с вредоносной программой Snake Keylogger, происхождение которой связывают с российскими хакерами. Уникальность этой атаки заключается в использовании легитимного Java-исполняемого файла jsadebugd.exe, который ранее не применялся для подобных целей.

Описание

Кампания нацелена на организации нефтяного сектора, что особенно актуально в условиях обострения ситуации на Ближнем Востоке. Конфликт между Ираном и Израилем, а также возможное закрытие Ормузского пролива создают атмосферу неопределенности, которой и пользуются злоумышленники. В своих письмах они притворяются представителями казахстанской нефтяной компании LLP KSK PETROLEUM LTD, предлагая выгодные сделки по поставкам нефтепродуктов.

Жертвам рассылаются письма с вложенным ZIP-архивом, содержащим переименованный jsadebugd.exe (маскирующийся под документ с названием вроде «001 PETROLEUMLTD LLP KSK SCO 1 ORIGINAL (1).exe»). При запуске файла загружается вредоносная DLL jli.dll, которая, в свою очередь, внедряет Snake Keylogger в системный процесс InstallUtil.exe. Для усложнения детектирования в начало файла добавлен мусорный код, скрывающий реальное содержимое.

Snake Keylogger работает по модели Malware-as-a-Service (MaaS) и ранее применялся в атаках на Украину группами UAC-00411 и TA558. В новой кампании вредоносная программа демонстрирует расширенный функционал: собирает данные о местоположении жертвы через сервисы reallyfreegeoip.org и checkip.dyndns.org, крадет пароли из более чем 40 браузеров (включая Chrome, Firefox, Edge, Opera и другие), перехватывает учетные данные почтовых клиентов (Outlook, Thunderbird, Foxmail), а также извлекает лицензионный ключ Windows.

Собранные данные отправляются через SMTP-протокол с аккаунта serverhar244@gpsamsterdamqroup[.]com на адрес harrysnakelogger@dklak[.]cam. Для обеспечения долговременного присутствия в системе злоумышленники копируют файлы в папку %USERPROFILE%\SystemRootDoc и добавляют автозагрузку через реестр.

Эксперты отмечают, что использование jsadebugd.exe в подобных атаках ранее не фиксировалось, что говорит об эволюции тактик злоумышленников. Они всё чаще атакуют доверенные системные утилиты, чтобы обойти защитные механизмы. Всего обнаружено 29 образцов вредоносного ПО, использующих аналогичную схему заражения, что подтверждает скоординированность кампании.

Аналитики подчеркивают, что подобные атаки могут стать ещё более актуальными на фоне возможного роста цен на нефть и логистических проблем в регионе.