Se está utilizando una nueva cambio del malware de Keylogger de serpiente para dirigirse activamente a los usuarios de Windows ubicados en China, Turquía, Indonesia, Taiwán y España.
Fortinet Fortiguard Labs dijo que la nueva interpretación del malware ha estado detrás de más de 280 millones de intentos de infección bloqueados en todo el mundo desde el eclosión del año.
“Por lo caudillo, entregados a través de correos electrónicos de phishing que contienen archivos adjuntos o enlaces maliciosos, Snake Keylogger está diseñado para robar información confidencial de navegadores web populares como Chrome, Edge y Firefox mediante la sesión de pulsaciones de teclas, capturando credenciales y monitoreando el portapapeles”, dijo el investigador de seguridad Kevin Su.
Sus otras características le permiten exfiltrarse la información robada a un servidor controlado por el atacante utilizando el protocolo de transferencia de correo simple (SMTP) y los bots de telegrama, lo que permite a los actores de amenaza ceder a credenciales robadas y otros datos confidenciales “.
Lo trascendente del extremo conjunto de ataques es que utiliza el estilo de secuencias de comandos Autoit para entregar y ejecutar la carga útil principal. En otras palabras, el ejecutable que contiene el malware es un binario compilado por automóviles, lo que le permite evitar los mecanismos de detección tradicionales.
“El uso de Autoit no solo complica el estudio asombrado al incorporar la carga útil internamente del script compilado, sino que asimismo permite un comportamiento dinámico que imita las herramientas de automatización benignas”, agregó Su.
Una vez animado, Snake Keylogger está diseñado para soltar una copia de sí misma a un archivo llamado “Ageless.exe” en la carpeta “%local_appdata% SuperGroup”. Todavía procede a eliminar otro archivo llamado “Ageless.vbs” en la carpeta de inicio de Windows de modo que el script de Visual Basic (VBS) inicia automáticamente el malware cada vez que se reinicia el sistema.
A través de este mecanismo de persistencia, el keylogger de serpiente es capaz de surtir el golpe al sistema comprometido y reanudar sus actividades maliciosas, incluso si el proceso asociado se termina.
La dependencia de ataque culmina con la inyección de la carga útil principal en un proceso .NET probado, como “regsvcs.exe” utilizando una técnica llamamiento proceso de hueco, lo que permite que el malware oculte su presencia internamente de un proceso confiable y detección de banda.
Todavía se ha incompatible que Snake Keylogger registra las teclas y utiliza sitios web como checkip.dyndns (.) Org para recuperar la dirección IP y la geolocalización de la víctima.
“Para capturar pulsaciones de teclas, aprovecha la API setWindowshookex con el primer parámetro establecido en wh_keyboard_ll (Flag 13), un garabato de teclado de bajo nivel que monitorea las teclas”, dijo Su. “Esta técnica permite que el malware registre la entrada sensible, como las credenciales bancarias”.
El expansión se produce cuando CloudSek detalló una campaña que está explotando la infraestructura comprometida asociada con las instituciones educativas para distribuir archivos LNK maliciosos disfrazados de documentos PDF para implementar finalmente el malware del robador de Lumma.
La actividad, dirigida a industrias como las finanzas, la atención médica, la tecnología y los medios de comunicación, es una secuencia de ataque de varias etapas que resulta en el robo de contraseñas, datos del navegador y billeteras de criptomonedas.
“El vector de infección principal de la campaña implica el uso de archivos Maliciosos LNK (trocha) que están diseñados para aparecer como documentos PDF legítimos”, dijo el investigador de seguridad Mayank Sahariya, y agregó que los archivos están alojados en un servidor WebDav que los visitantes que no se ven son redirigidos posteriormente de los sitios de visitas.
El archivo LNK, por su parte, ejecuta un comando PowerShell para conectarse a un servidor remoto y recuperar el malware de la futuro etapa, un código de JavaScript ofuscado que alberga otro PowerShell que descarga Lumma Stealer del mismo servidor y lo ejecuta.
En las últimas semanas, asimismo se ha observado que el malware de Stealer se distribuye a través de archivos JavaScript ofuscados para cosechar una amplia tonalidad de datos confidenciales de sistemas de Windows comprometidos y exfiltrarse a un bot de telegrama operado por el atacante.
“El ataque comienza con un archivo de JavaScript ofuscado, que obtiene cadenas codificadas de un servicio de código rajado para ejecutar un script de PowerShell”, dijo Cyfirma.
“Este script luego descarga una imagen JPG y un archivo de texto de una dirección IP y un acortador de URL, que contienen MZ MZ DOS Ejecutables integrados utilizando técnicas esteganográficas. Una vez ejecutadas, estas cargas desplegaron malware de Stealer”.
