Snake Stealer

Snake - это модульный кейлоггер, написанный на языке .NET. Злоумышленники используют это вредоносное ПО для утечки конфиденциальных данных, таких как нажатия клавиш, снимки экрана и учетные данные для входа в систему.


Также известен как

  • 404 Keylogger
  • 404KeyLogger
  • Snake Keylogger

Что такое вредоносная программа Snake

Snake - это модульный похититель информации и кейлоггер, который был впервые обнаружен в ноябре 2020 года. Разработанный с использованием языка программирования .Net, он имеет сходство с семействами вредоносных программ AgentTesla, Formbook и Matiex, особенно в механизме хранения.

Snake представляет значительный риск для частной жизни благодаря своей способности к эксфильтрации широкого спектра данных. Его возможности включают в себя:

  • перехват клавиатуры
  • перехват буфера обмена
  • кража учетных данных
  • запись экрана

Snake способен похищать учетные данные из более чем 50 приложений, включая популярные веб-браузеры и клиенты передачи файлов, такие как FileZilla. Примечательно, что эта вредоносная программа также способна похищать профили беспроводных сетей.

Этот кейлоггер также примечателен своей способностью передавать данные по нескольким протоколам: FTP, SMTP и Telegram.

Кроме того, Snake собирает системную информацию, включая конфигурацию оборудования, имя и версию операционной системы зараженного компьютера.

Используя IP-адрес системы и информацию о времени и дате, он определяет геолокацию машины, на которой работает. Некоторые образцы Snake, хотя и не все, используют эти данные для активации переключателя "kill switch". Такое поведение характерно для вредоносных программ, происходящих из стран бывшего СССР, обычно они избегают целей в близлежащих странах.

Угроза заражения Snake не ограничивается конкретными отраслями или географическими регионами. По некоторым данным, он способен заразить все основные платформы, включая Windows, Linux, а с недавних пор и MacOS. Кроме того, Snake является очень популярной вредоносной программой - она часто конкурирует с AgentTesla за первое место в различных чартах.

На подпольных форумах Snake можно приобрести в качестве вредоносной программы как услугу, цена которой варьируется от 25 до 500 долларов США.

Этот похититель информации оснащен функцией защиты от вторжения. В некоторых образцах было обнаружено, что его компонент загрузчика "спит" в течение определенного периода времени, чтобы обойти автоматические песочницы. Он также может завершать процессы, связанные с AV и инструментами сетевого анализа, такими как Avast и Wireshark.

После завершения начального процесса Snake обеспечивает свою устойчивость, дублируя себя в папку AppData под случайным именем, создавая конфигурацию запланированной задачи во временном каталоге и инициируя запланированную задачу. Более того, он обладает способностью самоудаляться из системы после утечки данных, используя команду удаления с 3-секундным таймером.

Распространение вредоносной программы Snake

Как обычно бывает с вредоносными программами семейства "вредоносное ПО как услуга", Snake распространяется через массовые фишинговые кампании по электронной почте и целевой spearphishing. Известно, что она приходит через зараженные документы Microsoft Office или PDF, обычно вложенные в сообщения, связанные с платежами.

После того, как пользователь извлекает исполняемый файл, он приступает к декодированию и расшифровке полезной нагрузки в формате base-64, которая содержится в строковой переменной.

Пользователям рекомендуется сохранять бдительность при загрузке платежных квитанций или любых документов от незнакомых отправителей. Основные признаки фишинговых попыток, на которые следует обратить внимание, включают плохую грамматику, манипулятивные сообщения и необычно большое количество опечаток для профессионального письма.

Выводы о вредоносной программе Snake

В заключение следует отметить, что Snake - это мощный похититель информации и кейлоггер, нацеленный на различные отрасли и платформы и способный извлекать широкий спектр данных. Его возможности обхода "песочницы" только усугубляют проблему обнаружения и анализа.

Поделиться с друзьями
SEC-1275-1