Variante del keylogger Snake
Una nueva variante del Snake Keylogger está atacando activamente a usuarios de Windows en China, Turquía, Indonesia, Taiwán y España. Los investigadores han rastreado esta nueva versión y la han vinculado a la alarmante cifra de 280 millones de intentos de infección en todo el mundo desde principios de año, lo que pone de relieve su amplio impacto.
Tabla de contenido
La trampa del phishing: cómo se propaga el keylogger Snake
El principal método de distribución del Snake Keylogger sigue siendo el envío de correos electrónicos de phishing con archivos adjuntos o enlaces amenazantes. El malware obtiene acceso a los sistemas de usuarios desprevenidos una vez que interactúan con estos correos electrónicos engañosos. Se centra en recopilar datos confidenciales de navegadores web de uso generalizado, como Chrome, Edge y Firefox. Lo logra registrando las pulsaciones de teclas, capturando las credenciales de inicio de sesión y monitoreando la actividad del portapapeles.
Exfiltración de datos a través de canales no convencionales
El keylogger Snake no se limita a recopilar información, sino que también garantiza que los datos robados lleguen a los atacantes a través de canales no convencionales. Las credenciales extraídas y los datos confidenciales se transmiten a través del Protocolo simple de transferencia de correo (SMTP) o de bots de Telegram. Al utilizar estos métodos, el malware mantiene un flujo constante de información robada a los servidores controlados por los atacantes, eludiendo algunas medidas de seguridad tradicionales.
AutoIt: una técnica de evasión inteligente
Lo que distingue a esta última ola de ataques es el uso del lenguaje de programación AutoIt para ejecutar la carga útil principal. El malware está integrado en un binario compilado por AutoIt, lo que le permite evadir los mecanismos de detección tradicionales. Este enfoque no solo dificulta el análisis estático, sino que también permite un comportamiento dinámico que imita de cerca a las herramientas de automatización legítimas, lo que enmascara aún más su presencia.
Establecer la persistencia en sistemas comprometidos
Una vez ejecutado, Snake Keylogger se asegura de permanecer activo en el sistema infectado. Coloca una copia de sí mismo como 'ageless.exe' en el directorio '%Local_AppData%\supergroup'. Para fortalecer su presencia, también coloca un archivo Visual Basic Script (VBS) llamado 'ageless.vbs' en la carpeta de inicio de Windows. Esto garantiza que cada vez que se reinicie el sistema, el malware se reinicie automáticamente, lo que le permite persistir incluso si sus procesos se terminan.
Proceso de vaciamiento: ocultamiento a simple vista
La etapa final del ataque implica inyectar la carga útil principal en un proceso .NET legítimo, como 'regsvcs.exe', mediante una técnica conocida como "vaciado de procesos". Al hacerlo, Snake Keylogger puede operar bajo la apariencia de un proceso confiable, lo que lo hace significativamente más difícil de detectar.
Registro de pulsaciones de teclas y seguimiento de víctimas
Además de robar credenciales, Snake Keylogger también monitorea la actividad del usuario mediante el registro de las pulsaciones de teclas. Aprovecha la API SetWindowsHookEx con el indicador WH_KEYBOARD_LL (indicador 13), un gancho de teclado de bajo nivel diseñado para capturar las pulsaciones de teclas. Este método le permite registrar información confidencial, incluidos datos bancarios y contraseñas. Además, el malware utiliza servicios externos como checkip.dyndns.org para determinar la dirección IP y la geolocalización de la víctima, lo que mejora aún más sus capacidades de recopilación de datos.
Una amenaza persistente y en evolución
El resurgimiento del Snake Keylogger pone de relieve la naturaleza cambiante de las amenazas cibernéticas. Al aprovechar nuevas técnicas como la creación de scripts de AutoIt y el vaciado de procesos, sigue evadiendo la detección y comprometiendo una gran cantidad de sistemas. Mantenerse informado sobre sus métodos y tener cuidado al manejar correos electrónicos sigue siendo crucial para mitigar los riesgos asociados con esta amenaza persistente.
