Призрак в системе: Snake Keylogger опустошает Chrome, Edge и Firefox

Согласно отчету Fortinet, новая версия Snake Keylogger атакует пользователей Windows в Азии и Европе, применяя необычный способ маскировки. Теперь вредонос использует язык сценариев AutoIt, чтобы усложнить обнаружение антивирусными средствами.

Snake Keylogger — это инфостилер на базе.NET. Как и в предыдущих версиях, Snake Keylogger попадает на устройства жертв через заражённые вложения в письмах и регистрирует нажатия клавиш (кейлоггинг), делает скриншоты рабочего стола и копирует данные из буфера обмена. В результате киберпреступники получают доступ к учётным записям, банковским данным и другим конфиденциальным сведениям, включая пароли, введённые в браузерах Chrome, Edge и Firefox.

Украденные данные отправляются на серверы хакеры различными способами: через SMTP, Telegram-ботов и HTTP-запросы. Специалисты Fortinet выявили, что новый вариант распространяется в виде скомпилированного бинарного файла AutoIt. Это позволяет киберпреступникам спрятать основную вредоносную нагрузку внутри исполняемого файла, затрудняя анализ и обнаружение.

AutoIt — бесплатный язык для автоматизации задач в Windows, который часто используется для создания автономных исполняемых файлов. Благодаря злоумышленники получают инструмент, который помогает обойти защитные механизмы традиционных антивирусов .

После запуска вредонос копирует себя в папку %Local_AppData%\supergroup, маскируясь под файл ageless.exe, и скрывает своё присутствие. Для обеспечения автоматического запуска при перезагрузке системы стилер создаёт VBS-файл ageless.vbs в папке автозагрузки Windows. Такой метод даёт Snake Keylogger возможность сохранять контроль над заражённым устройством, даже если основной процесс будет принудительно завершён пользователем или антивирусом.

Дополнительно, вредонос внедряет свою вредоносную нагрузку в системный процесс RegSvcs.exe, используя метод process hollowing. Это позволяет подменять код в легитимном процессе, обходя механизмы защиты и анализа поведения программ.

Для перехвата нажатий клавиш Snake Keylogger использует API-функцию SetWindowsHookEx с параметром WH_KEYBOARD_LL, что позволяет следить за всем, что вводит пользователь. Помимо кейлоггинга, вредонос определяет местоположение жертвы по IP-адресу, запрашивая данные у сервиса checkip.dyndns.org.

Аналитики Fortinet предупреждают, что использование AutoIt делает данный вариант Snake Keylogger особенно опасным, так как он может мимикрировать под легитимные скрипты автоматизации и обойти традиционные механизмы защиты. Пользователям настоятельно рекомендуется избегать открытия вложений в письмах от неизвестных отправителей и регулярно обновлять антивирусные базы.