Лаборатории FortiGuard Labs сообщают о обнаружении новой вредоносной программы Snake Keylogger (также известной как 404 Keylogger), которая была идентифицирована как AutoIt/Injector.GTY!tr. Данная программа отвечает за более чем 280 миллионов попыток заражения и распространяется в разных регионах, в том числе в Китае, Турции, Индонезии, Тайване и Испании. Это подтверждает значительное влияние данной вредоносной программы в этих регионах. Появление нового варианта Snake Keylogger подчеркивает постоянную эволюцию вредоносных программ-кейлоггеров и необходимость в усовершенствованных механизмах обнаружения.
Snake Keylogger
Snake Keylogger обычно распространяется через фишинговые письма с вредоносными вложениями или ссылками. Его целью является кража конфиденциальной информации из популярных веб-браузеров, таких как Chrome, Edge и Firefox, путем регистрации нажатий клавиш, захвата учетных данных и мониторинга буфера обмена. Вредоносная программа также отправляет похищенную информацию на свой командно-контрольный (C2) сервер с использованием SMTP (электронная почта) и Telegram-ботов. Это позволяет злоумышленникам получать доступ к украденным данным и другим конфиденциальным сведениям.
FortiSandbox v5.0 (FSAv5) с новым механизмом искусственного интеллекта PAIX обеспечивает эффективное обнаружение и анализ новых угроз в режиме реального времени. Сочетая поведенческий анализ и атрибуты файлов, PAIX способен выявлять подозрительную активность и потенциально вредоносные программы до их воздействия на систему. FortiSandbox регулярно обновляется с помощью новейших моделей искусственного интеллекта, что обеспечивает оптимальную защиту.
FSAv5 обеспечивает детальный статический и динамический анализ вредоносных программ. Он обнаруживает обфусцированные строки, встроенные API, а также фиксирует поведение кейлоггера во время выполнения программы. С помощью составленных индикаторов динамического анализа, процессы, запускаемые вредоносной программой, и сетевые соединения с ее C2-сервером были зарегистрированы. Эти данные позволили выявить способность Snake Keylogger обходить традиционные механизмы обнаружения. Кроме того, в FSAv5 индикаторы классифицируются и соотносятся с конкретными методами MITRE ATT&CK, что помогает лучше понять тактику вредоносной программы.
Snake Keylogger использует AutoIt, скриптовый язык, для доставки и выполнения вредоносной полезной нагрузки. AutoIt является универсальным и может создавать автономные исполняемые файлы, обходящие традиционные антивирусные решения. Вредоносная программа использует AutoIt-компилированный двоичный файл для обфускации кода и достижения динамического поведения, имитирующего доброкачественные средства автоматизации.
Indicators of Compromise
URLs
- http://51.38.247.67:8081/_send_php?L
MD5
- 77f8db41b320c0ba463c1b9b259cfd1b
- f8410bcd14256d6d355d7076a78c074f
