Snake 键盘记录器变种将窃取所有敏感数据

针对 Windows 用户的持久信息窃取程序

另一种新出现的 Snake Keylogger 变种已被检测到积极针对多个地区的 Windows 用户，包括中国、土耳其、印度尼西亚、台湾和西班牙。报告显示，自今年年初以来，该版本已在全球范围内引发了超过 2.8 亿次被阻止的感染尝试。其主要目标是通过记录击键、监视剪贴板活动以及从广泛使用的 Web 浏览器（如 Chrome、Edge 和 Firefox）中提取信息来捕获敏感用户数据，尤其是登录凭据。

Snake 键盘记录器如何获取设备访问权限

该键盘记录器的主要传播方式是通过带有恶意链接或附件的欺骗性电子邮件。一旦执行，恶意软件就会深入系统内部，收集和传输被盗数据。这是通过利用简单邮件传输协议 (SMTP) 和 Telegram 机器人实现的，使攻击者能够远程检索被盗信息。

最新一波攻击的一个显著特点是使用了AutoIt 脚本语言。通过将其有效载荷嵌入 AutoIt 编译的二进制文件中，该技术使恶意软件能够避开传统的检测工具，使安全系统更难识别威胁。此外，AutoIt 引入了与合法自动化工具非常相似的动态行为，进一步增加了检测难度。

在系统上建立持久性

安装后，Snake Keylogger 会将自身复制为“%Local_AppData%\supergroup”目录中名为“ageless.exe”的文件，以确保其持久性。此外，它还会将名为“ageless.vbs”的辅助文件放置在 Windows 启动文件夹中，从而确保每次系统重新启动时恶意软件都会重新加载。即使初始进程停止或删除，这种方法也允许键盘记录器继续运行。

为了进一步隐藏其存在，Snake Keylogger 将其核心负载注入合法的 .NET 进程，例如“regsvcs.exe”。这种称为进程挖空的技术使恶意软件能够在受信任的系统进程中运行，使安全解决方案更难以检测和消除威胁。

Snake 键盘记录器活动的影响

一旦成功嵌入系统，Snake Keylogger 就会使用涉及 SetWindowsHookEx API 的专门技术来捕获击键。将第一个参数设置为 WH_KEYBOARD_LL（标志 13）即可启用低级键盘监控。这允许攻击者记录敏感的用户输入，包括银行凭证、密码和私人消息。

除了记录击键之外，键盘记录器还会访问 checkip.dyndns.org 等网络服务，以确定受感染系统的地理位置和 IP 地址。这些数据可用于进一步定位或增强基于受害者位置的其他恶意活动。

利用欺骗手段的类似威胁

Snake Keylogger 变体的出现与更广泛的网络犯罪趋势相吻合，恶意行为者利用高级脚本技术来逃避检测。最近的调查还发现了单独的活动，这些活动使用伪装成 PDF 文档的快捷方式 (LNK) 文件来传播窃取威胁。这些 LNK 文件托管在受感染的教育机构基础设施上，执行 PowerShell 命令来下载和安装其他威胁。

另一种相关技术涉及使用模糊的 JavaScript 文件来部署类似的威胁。这些脚本从开源服务中检索编码的字符串，最终导致执行下载有害负载的 PowerShell 命令。其中一些负载已使用隐写术嵌入看似无害的图像文件中，这使得它们更难被检测到。

减轻 Snake Keylogger 相关的风险

鉴于此键盘记录程序及其规避技术的复杂性，用户在处理未经请求的电子邮件或附件时应谨慎行事。组织应实施高级电子邮件过滤，以在可疑邮件到达员工之前将其拦截。此外，应定期更新端点安全解决方案，以识别这些威胁使用的新规避策略。

随着攻击者不断改进其攻击方法，网络安全意识仍然是一项关键防御措施。了解欺骗性技术的工作原理并在浏览互联网或访问电子邮件时保持警惕可以大大降低此类威胁的风险。通过随时了解情况并采取主动的安全措施，个人和企业可以更好地保护其敏感信息免受不断演变的数字危险。