Un nuovo tipo di malware chiamato Snake Keylogger sta prendendo di mira gli utenti Windows in paesi come Cina, Turchia, Indonesia, Taiwan e Spagna. Questo malware è stato responsabile di oltre 280 milioni di tentativi di infezione bloccati a livello globale dall'inizio dell'anno. Solitamente distribuito tramite email di phishing che contengono allegati o link malevoli, Snake Keylogger è progettato per rubare informazioni sensibili dai browser web più popolari come Chrome, Edge e Firefox. Lo fa registrando le sequenze di tasti, catturando credenziali e monitorando il contenuto degli appunti.

Caratteristiche del malware

Una caratteristica distintiva di questa variante è l'uso del linguaggio di scripting AutoIt per consegnare ed eseguire il payload principale. Questo approccio consente al malware di eludere i tradizionali meccanismi di rilevamento grazie alla sua capacità di comportarsi in modo dinamico, simulando strumenti di automazione benigni. Una volta avviato, Snake Keylogger crea una copia di se stesso in un file denominato "ageless.exe" nella cartella "%Local_AppData%supergroup" e un altro file chiamato "ageless.vbs" nella cartella di avvio di Windows. Questo script VBS avvia automaticamente il malware ogni volta che il sistema viene riavviato, garantendo così la sua persistenza.

Tecniche di attacco

Il ciclo dell'attacco culmina con l'iniezione del payload principale in un processo legittimo .NET, come "regsvcs.exe", utilizzando una tecnica chiamata process hollowing. Questo permette al malware di nascondere la sua presenza all'interno di un processo fidato e di evitare il rilevamento. Snake Keylogger è anche in grado di registrare le sequenze di tasti e di utilizzare siti web come checkip.dyndns[.]org per recuperare l'indirizzo IP della vittima e la geolocalizzazione.

Metodi di registrazione

Per registrare le sequenze di tasti, il malware sfrutta l'API SetWindowsHookEx con il primo parametro impostato su WH_KEYBOARD_LL, un hook di tastiera a basso livello che monitora le sequenze di tasti. Questa tecnica consente al malware di registrare input sensibili come le credenziali bancarie. Inoltre, un'altra campagna dettagliata da CloudSEK sta sfruttando le infrastrutture compromesse delle istituzioni educative per distribuire file LNK malevoli mascherati da documenti PDF, che alla fine distribuiscono il malware Lumma Stealer.

Distribuzione recente

Negli ultimi tempi, il malware stealer è stato distribuito anche tramite file JavaScript offuscati, progettati per rubare una vasta gamma di dati sensibili dai sistemi Windows compromessi e inviarli a un bot Telegram controllato dall'attaccante. L'attacco inizia con un file JavaScript offuscato che esegue uno script PowerShell, il quale scarica ulteriori payload malevoli utilizzando tecniche di steganografia.