Snake - это модульный кейлоггер, написанный на языке .NET. Злоумышленники используют это вредоносное ПО для утечки конфиденциальных данных, таких как нажатия клавиш, снимки экрана и учетные данные для входа в систему.
Также известен как
- 404 Keylogger
- 404KeyLogger
- Snake Keylogger
Что такое вредоносная программа Snake
Snake - это модульный похититель информации и кейлоггер, который был впервые обнаружен в ноябре 2020 года. Разработанный с использованием языка программирования .Net, он имеет сходство с семействами вредоносных программ AgentTesla, Formbook и Matiex, особенно в механизме хранения.
Snake представляет значительный риск для частной жизни благодаря своей способности к эксфильтрации широкого спектра данных. Его возможности включают в себя:
- перехват клавиатуры
- перехват буфера обмена
- кража учетных данных
- запись экрана
Snake способен похищать учетные данные из более чем 50 приложений, включая популярные веб-браузеры и клиенты передачи файлов, такие как FileZilla. Примечательно, что эта вредоносная программа также способна похищать профили беспроводных сетей.
Этот кейлоггер также примечателен своей способностью передавать данные по нескольким протоколам: FTP, SMTP и Telegram.
Кроме того, Snake собирает системную информацию, включая конфигурацию оборудования, имя и версию операционной системы зараженного компьютера.
Используя IP-адрес системы и информацию о времени и дате, он определяет геолокацию машины, на которой работает. Некоторые образцы Snake, хотя и не все, используют эти данные для активации переключателя "kill switch". Такое поведение характерно для вредоносных программ, происходящих из стран бывшего СССР, обычно они избегают целей в близлежащих странах.
Угроза заражения Snake не ограничивается конкретными отраслями или географическими регионами. По некоторым данным, он способен заразить все основные платформы, включая Windows, Linux, а с недавних пор и MacOS. Кроме того, Snake является очень популярной вредоносной программой - она часто конкурирует с AgentTesla за первое место в различных чартах.
На подпольных форумах Snake можно приобрести в качестве вредоносной программы как услугу, цена которой варьируется от 25 до 500 долларов США.
Этот похититель информации оснащен функцией защиты от вторжения. В некоторых образцах было обнаружено, что его компонент загрузчика "спит" в течение определенного периода времени, чтобы обойти автоматические песочницы. Он также может завершать процессы, связанные с AV и инструментами сетевого анализа, такими как Avast и Wireshark.
После завершения начального процесса Snake обеспечивает свою устойчивость, дублируя себя в папку AppData под случайным именем, создавая конфигурацию запланированной задачи во временном каталоге и инициируя запланированную задачу. Более того, он обладает способностью самоудаляться из системы после утечки данных, используя команду удаления с 3-секундным таймером.
Распространение вредоносной программы Snake
Как обычно бывает с вредоносными программами семейства "вредоносное ПО как услуга", Snake распространяется через массовые фишинговые кампании по электронной почте и целевой spearphishing. Известно, что она приходит через зараженные документы Microsoft Office или PDF, обычно вложенные в сообщения, связанные с платежами.
После того, как пользователь извлекает исполняемый файл, он приступает к декодированию и расшифровке полезной нагрузки в формате base-64, которая содержится в строковой переменной.
Пользователям рекомендуется сохранять бдительность при загрузке платежных квитанций или любых документов от незнакомых отправителей. Основные признаки фишинговых попыток, на которые следует обратить внимание, включают плохую грамматику, манипулятивные сообщения и необычно большое количество опечаток для профессионального письма.
Выводы о вредоносной программе Snake
В заключение следует отметить, что Snake - это мощный похититель информации и кейлоггер, нацеленный на различные отрасли и платформы и способный извлекать широкий спектр данных. Его возможности обхода "песочницы" только усугубляют проблему обнаружения и анализа.