Вредоносная программа Snake сильно укусила 50 приложений всего за 25 долларов

33
Хакеры нацелены на биопроизводство с помощью скрытого вредоносного ПО Tardigrade

Киберпреступники стремятся использовать троян Snake для кражи паролей, что делает его одним из популярных семейств вредоносных программ, используемых в атаках.

Snake активен с ноября 2020 года и представляет собой проект, отличный от проекта вымогателя, который использовал то же имя в прошлом.

Написанные на .NET и использующие тот же промежуточный механизм, что и FormBook и Agent Tesla, исследователи из Cybereason глубоко погружаются в то, как действует растущая угроза.

Широкий спектр вредоносных функций

В настоящее время киберпреступники продают Snake на форумах темной сети всего за 25 долларов, что может быть причиной того, что мы наблюдаем всплеск его развертывания .

В основном развернутый в фишинговых кампаниях, Snake устанавливается через вредоносные вложения электронной почты или через сайты, на которые можно попасть, нажимая на ссылки электронной почты.

При установке на компьютер Snake может похищать учетные данные из более чем 50 приложений, включая почтовые клиенты, веб-браузеры и платформы обмена мгновенными сообщениями.

Некоторые из наиболее популярных программ, на которые нацелена Snake, включают:

  • Раздор
  • Пиджин
  • FileZilla
  • Thunderbird
  • Перспективы
  • Смелый браузер
  • Хром
  • Край
  • Fire Fox
  • Опера
  • Вивальди
  • Яндекс

Snake также имеет функции регистрации нажатия клавиш, возможности кражи данных из буфера обмена и даже может делать снимки экрана всего экрана, которые затем загружаются обратно в злоумышленник.

Другие функции включают кражу данных ОС, информации о пространстве памяти, геолокации, информации о дате и времени, IP-адресах и т. Д.

Предыдущий анализ с HP показал , что актеры угрозы могут использовать данные геолокации , чтобы ограничить установку в зависимости от страны жертвы.

В общем, это универсальный инструмент для кражи информации за свою цену, который успешно скрывался от решений безопасности.

Уклонение от обнаружения

Чтобы избежать обнаружения, Snake отключает антивирусную защиту, убивая связанные процессы, и заходит так далеко, что отключает анализаторы сетевого трафика, такие как Wireshark.

Затем Snake добавляет себя в список исключений Защитника Windows, позволяя выполнять вредоносные команды PowerShell, не будучи обнаруженными.

Змейка добавляет запланированную задачу и редактирует раздел реестра, который будет выполняться, когда пользователь входит в Windows, чтобы обеспечить постоянство.

Наконец, стоит отметить, что Snake дает своим операторам возможность выбирать, какие функции они будут активировать для вредоносного ПО на этапе упаковки.

Эта настройка позволяет им оставаться скрытыми за счет сокращения использования функций в целевых атаках.

Наконец, когда дело доходит до кражи данных, Snake использует подключение к серверу FTP или SMTP или протокол HTTPS POST на конечной точке Telegram/

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here