.
Os criminosos estão atacando usuários do Windows mais uma vez, desta vez em uma tentativa de atacá-los com um keylogger que também pode roubar credenciais e fazer capturas de tela.
Em um alerta deste mês, o FortiGuard Labs da Fortinet alertou sobre um aumento nas infecções do SnakeKeylogger. Uma vez em execução no PC de alguém, esse malware registra as teclas digitadas pela vítima conforme ela faz login, pesca nomes de usuários e senhas de seus arquivos e tira capturas de tela para espionar as pessoas e, em seguida, envia todas essas informações confidenciais para fraudadores.
“Com base na telemetria do FortiGuard, houve centenas de ocorrências de detecção de dia zero”, disse o grupo de inteligência de ameaças, acrescentando que o registrador foi flagrado entrando em contato com servidores externos diversas vezes.
Por detecção de dia zero, a Fortinet quer dizer, neste contexto, software que estava agindo de forma suspeita, embora ainda não estivesse em seu banco de dados de softwares nocivos conhecidos, indicando que o SnakeKeylogger encontrado por seu antivírus era uma nova cepa, no que diz respeito à Fortinet. Uma assinatura para detectar o malware foi adicionada ao mecanismo de detecção do FortiGuard em 31 de julho, na versão 92.06230.
SnakeKeylogger, também conhecido como KrakenKeylogger, é um ladrão baseado em Microsoft .NET já conhecido por roubo de credenciais e capacidades de keylogging. Ele foi originalmente vendido por assinatura em fóruns de crimes russos.
O malware se tornou uma “ameaça significativa” em novembro de 2020, de acordo com a equipe de pesquisa de ameaças da Splunk, e é conhecido por sua exfiltração astuta de dados dos dispositivos das vítimas. Ele usa FTP para transferir arquivos privados das pessoas e SMTP para enviar e-mails contendo dados confidenciais, e se integrou ao aplicativo de mensagens Telegram, permitindo que os criminosos recebessem informações roubadas em tempo real.
“Além disso, ele demonstra habilidade em coletar dados da área de transferência, credenciais do navegador e conduzir reconhecimento de sistema e rede”, observaram os pesquisadores de segurança do Splunk.
Além disso, o malware “demonstra uma sofisticação notável ao utilizar uma variedade de criptografadores ou carregadores para ofuscar seu código e evitar a detecção por sandboxes”, acrescentou a equipe.
Embora o alerta da Fortinet não especifique como os criminosos estão invadindo máquinas para implantar o SnakeKeylogger, esse ladrão geralmente é espalhado por meio de campanhas de phishing. Pedimos detalhes adicionais sobre esses ataques e atualizaremos esta história se tivermos notícias da Fortinet.
Em um alerta separado sobre o uso do SnakeKeylogger no sequestro de contas on-line de vítimas, usando suas credenciais roubadas, a Check Point disse que o código malicioso geralmente fica oculto em um documento do Office criado com códigos maliciosos ou em um PDF anexado a um e-mail e, quando o destinatário abre o documento, o payload encontra uma maneira de buscar e executar o registrador.
“O malware embutido no documento é tipicamente um downloader”, explicou a loja de segurança. “Ele usa scripts do PowerShell para baixar uma cópia do Snake Keylogger para o sistema infectado e executá-lo.”
Provavelmente esse também é o caso na recente onda de infecções. Entre outras medidas que os defensores de rede devem tomar para proteger suas organizações do keylogger, o FortiGuard Labs recomenda: “Seja cauteloso ao abrir e-mails, clicar em links e baixar anexos.”
Além disso, a organização oferece outros lembretes que se aplicam à proteção contra todos os tipos de ataques de malware.
Isso inclui manter os serviços de segurança atualizados usando as versões mais recentes de bancos de dados e mecanismos. Além disso, ative os recursos de antivírus e sandbox em políticas locais e de rede e use produtos de segurança de endpoint que protejam os usuários antes e depois da exploração. ®
.
