TTL OSINT

Глубокий анализ нового варианта кейлоггера Snake

В статье рассматривается новый вариант вредоносной программы Snake Keylogger, которая распространяется с помощью фишинговой кампании, использующей вредоносный документ Excel. Документ Excel использует уязвимость CVE-2017-0199 для загрузки вредоносного файла, который затем выполняет код на VBScript, который загружает и запускает код PowerShell, вызывающий Windows API для загрузки исполняемого файла (sahost.exe ), содержащий новый вариант кейлоггера Snake. Модуль загрузки использует многоуровневые методы защиты для защиты основного модуля Snake Keylogger от обнаружения и блокировки. Модуль развертывания кейлоггера Snake выполняет удаление процесса, чтобы скрыть исходный процесс, и создает новую запланированную задачу в системном планировщике задач для запуска при запуске системы. Основной модуль Snake Keylogger собирает личную и конфиденциальную информацию с устройства жертвы, включая основную информацию об устройстве, сохраненные учетные данные, нажатия клавиш, скриншоты и данные в системном буфере обмена.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://www.fortinet.com/blog/threat-research/deep-analysis-of-snake-keylogger-new-variant

Выборочные показатели Compromise:

• 484e5a871ad69d6b214a31a3b7f8cfced71ba7a07e62205a90515f350cc0f723
• 6f6a660ce89f6ea5bbe532921ddc4aa17bcd3f2524aa2461d4be265c9e7328b9
• http://192.3.176.138/107/sahost.exe
• http://urlty.co/byPCO
• 207dd751868995754f8c1223c08f28633b47629f78faaf70a3b931459ee60714

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал