MÜNCHEN (IT BOLTWISE) – Eine neue Variante des Snake Keyloggers zielt aktiv auf Windows-Nutzer in China, der Türkei, Indonesien, Taiwan und Spanien ab. Seit Jahresbeginn wurden weltweit über 280 Millionen Infektionsversuche blockiert.
Die Bedrohung durch den Snake Keylogger hat sich mit einer neuen Variante verschärft, die gezielt Windows-Nutzer in verschiedenen Ländern angreift. Laut Berichten von Sicherheitsforschern wurden seit Anfang des Jahres weltweit über 280 Millionen Infektionsversuche abgewehrt. Diese Malware wird typischerweise über Phishing-E-Mails verbreitet, die schädliche Anhänge oder Links enthalten. Ziel ist es, sensible Informationen aus beliebten Webbrowsern wie Chrome, Edge und Firefox zu stehlen, indem Tastenanschläge protokolliert, Anmeldedaten erfasst und die Zwischenablage überwacht werden.
Besonders bemerkenswert an den jüngsten Angriffen ist die Verwendung der AutoIt-Skriptsprache zur Auslieferung und Ausführung der Hauptnutzlast. Das ausführbare Programm, das die Malware enthält, ist ein AutoIt-kompiliertes Binary, das traditionelle Erkennungsmechanismen umgeht. Diese Technik erschwert nicht nur die statische Analyse, indem die Nutzlast im kompilierten Skript eingebettet wird, sondern ermöglicht auch ein dynamisches Verhalten, das gutartigen Automatisierungstools ähnelt.
Einmal gestartet, kopiert sich der Snake Keylogger in eine Datei namens „ageless.exe“ im Ordner „%Local_AppData%supergroup“. Zudem wird eine weitere Datei namens „ageless.vbs“ im Windows-Startordner abgelegt, sodass das Visual Basic Script (VBS) die Malware bei jedem Systemneustart automatisch startet. Durch diesen Persistenzmechanismus kann der Snake Keylogger den Zugriff auf das kompromittierte System aufrechterhalten und seine bösartigen Aktivitäten fortsetzen, selbst wenn der zugehörige Prozess beendet wird.
Der Angriffskette gipfelt in der Injektion der Hauptnutzlast in einen legitimen .NET-Prozess wie „regsvcs.exe“ mittels eines Verfahrens namens Process Hollowing. Dies ermöglicht es der Malware, ihre Präsenz innerhalb eines vertrauenswürdigen Prozesses zu verbergen und der Erkennung zu entgehen. Der Snake Keylogger protokolliert auch Tastenanschläge und nutzt Websites wie checkip.dyndns[.]org, um die IP-Adresse und den geografischen Standort des Opfers abzurufen.
Um Tastenanschläge zu erfassen, verwendet die Malware die SetWindowsHookEx-API mit dem ersten Parameter auf WH_KEYBOARD_LL (Flag 13) gesetzt, einem Low-Level-Tastatur-Hook, der Tastenanschläge überwacht. Diese Technik ermöglicht es der Malware, sensible Eingaben wie Bankdaten zu protokollieren.
Gleichzeitig hat CloudSEK eine Kampagne detailliert beschrieben, die kompromittierte Infrastrukturen von Bildungseinrichtungen ausnutzt, um bösartige LNK-Dateien zu verteilen, die als PDF-Dokumente getarnt sind, um letztendlich die Lumma Stealer-Malware zu installieren. Diese Aktivität, die Branchen wie Finanzen, Gesundheitswesen, Technologie und Medien ins Visier nimmt, ist eine mehrstufige Angriffskette, die zum Diebstahl von Passwörtern, Browserdaten und Kryptowährungs-Wallets führt.
In den letzten Wochen wurde auch beobachtet, dass Stealer-Malware über verschleierte JavaScript-Dateien verteilt wird, um eine Vielzahl sensibler Daten von kompromittierten Windows-Systemen zu ernten und an einen von Angreifern betriebenen Telegram-Bot zu exfiltrieren. Der Angriff beginnt mit einer verschleierten JavaScript-Datei, die codierte Zeichenfolgen von einem Open-Source-Dienst abruft, um ein PowerShell-Skript auszuführen. Dieses Skript lädt dann ein JPG-Bild und eine Textdatei von einer IP-Adresse und einem URL-Shortener herunter, die beide bösartige MZ-DOS-Executables enthalten, die mittels Steganographie eingebettet sind. Nach der Ausführung dieser Nutzlasten wird Stealer-Malware bereitgestellt.
- NIEDLICHER BEGLEITER: Eilik ist der ideale Begleiter für Kinder und Erwachsene, die Haustiere, Spiele und intelligente Roboter lieben. Mit vielen Emotionen, Bewegungen und interaktiven Funktionen.
- Die besten Bücher rund um KI & Robotik!
- Die besten KI-News kostenlos per eMail erhalten!
- Zur Startseite von IT BOLTWISE® für aktuelle KI-News!
- Service Directory für AI Adult Services erkunden!
- IT BOLTWISE® kostenlos auf Patreon unterstützen!
- Aktuelle KI-Jobs auf StepStone finden und bewerben!
Stellenangebote
Product Owner - Künstliche Intelligenz & Innovation (m/w/d)
Solution Manager(w/m/d) Architecture for Data & AI Strategy
Consultant IT Solutions (m/w/d) Schwerpunkt Automation / RPA / AI
Backend-Entwickler:in (Python) (m/w/d) im Finanz- und KI-Bereich
- Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
- Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
- Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
- Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Neue Snake Keylogger-Variante nutzt AutoIt-Skripting zur Erkennungsevasion" für unsere Leser?
#Sophos
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Neue Snake Keylogger-Variante nutzt AutoIt-Skripting zur Erkennungsevasion" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.
Nutze die deutsche Google-Suchmaschine für eine weitere Themenrecherche: »Neue Snake Keylogger-Variante nutzt AutoIt-Skripting zur Erkennungsevasion« bei Google Deutschland suchen und bei Google News recherchieren!