اكتشف الباحثون الأمنيون إصدارًا جديدًا من برمجية Snake Keylogger الخبيثة، يستهدف المستخدمين في الصين وتركيا وإندونيسيا وتايوان وإسبانيا، حيث سجل أكثر من 280 مليون محاولة إصابة محظورة منذ بداية العام، وفقًا لتقرير Fortinet FortiGuard Labs .
كيف تعمل برمجية Snake Keylogger؟
فمن حيث آلية الانتشار، يتم توزيع البرمجية عبر رسائل التصيد الإلكتروني (Phishing Emails) التي تحتوي على مرفقات أو روابط ضارة.
وبالنسبة للأهداف، فإن سرقة بيانات حساسة من متصفحات الإنترنت الشهيرة مثل Chrome و Edge و Firefox عن طريق تسجيل ضغطات المفاتيح، وجمع بيانات تسجيل الدخول، ومراقبة الحافظة (Clipboard Monitoring) .
أما بالنسبة لآلية نقل البيانات، فيتم إرسال البيانات المسروقة إلى خوادم المهاجمين باستخدام بروتوكول SMTP أو عبر بوتات Telegram .
استغلال AutoIt لتفادي الاكتشاف
– يستخدم الإصدار الجديد من Snake Keylogger لغة البرمجة AutoIt لتنفيذ الحمولة الخبيثة، مما يجعله أكثر صعوبة في الكشف عنه بواسطة برامج الحماية التقليدية.
– يعمل كملف AutoIt-compiled binary، مما يساعده في تجاوز الفحص الأمني وتحليل التعليمات البرمجية الثابتة (Static Analysis).
– يتم إسقاط ملف “ageless.exe” في المسار %Local_AppData%\supergroup لضمان استمرار النشاط الخبيث حتى بعد إعادة تشغيل النظام.
– يقوم أيضًا بإسقاط ملف ageless.vbs في مجلد بدء التشغيل لضمان التشغيل التلقائي مع كل إعادة تشغيل.
تقنيات متقدمة لإخفاء النشاط الخبيث
– التخفي داخل العمليات الشرعية:
يستخدم Snake Keylogger تقنية Process Hollowing لحقن الحمولة الضارة داخل عملية شرعية لنظام Windows مثل regsvcs.exe، مما يساعده على إخفاء نشاطه وتجنب الاكتشاف.
– تسجيل ضغطات المفاتيح وسرقة بيانات تسجيل الدخول:
– يعتمد على واجهة SetWindowsHookEx API مع العلامة WH_KEYBOARD_LL لتسجيل ضغطات المفاتيح، مما يجعله قادرًا على سرقة بيانات حساسة مثل كلمات مرور الحسابات المصرفية.
– يستخدم مواقع مثل checkip.dyndns[.]org لاستخراج عنوان IP الخاص بالضحية وتحديد موقعه الجغرافي.
هجمات أخرى مرتبطة بسرقة البيانات
حملة لاختراق البنية التحتية للمؤسسات التعليمية: كشفت شركة CloudSEK عن حملة تستخدم ملفات LNK ضارة متنكرة كملفات PDF لنشر برمجية Lumma Stealer، والتي تستهدف قطاعات مثل المالية والرعاية الصحية والتكنولوجيا والإعلام.
آلية الهجوم:
- يتم استضافة الملفات على خوادم WebDAV، ويتم إعادة توجيه الضحايا إليها بعد زيارة مواقع معينة.
- عند فتح الملف، يتم تنفيذ أمر PowerShell لتنزيل ملف JavaScript مشفر، والذي بدوره يقوم بتحميل Lumma Stealer وتشغيله.
انتشار برمجيات السرقة عبر JavaScript المبهم (Obfuscated JavaScript):
تم رصد ملفات JavaScript مبهمة تستخدم تقنيات إخفاء البيانات (Steganography) لنشر برمجيات خبيثة تقوم بسرقة بيانات حساسة وإرسالها إلى بوتات Telegram يديرها المهاجمون.
