Snake Keylogger というマルウェア:Chrome/ Edge/Firefox ユーザーが標的

Snake Keylogger Targets Chrome, Edge, and Firefox Users in New Attack Campaign

2024/02/19 gbhackers — Snake Keylogger (別名 404 Keylogger) の新たな亜種が、Google Chrome/Microsoft Edge/Mozilla Firefox などの Web ブラウザのユーザーを、ターゲットにしていることが判明した。FortiGuard Labs は、高度な AI/ML を搭載した最先端のマルウェア検出プラットフォーム FortiSandbox v5.0 (FSAv5) を使用して、この脅威を特定したという。

この悪意のソフトウェアは、キーストロークを記録し、クリップボードのアクティビティを監視することで、認証情報や個人情報などの機密性のデータを盗み出すように設計されている。

グローバルにおよぶ大規模キャンペーン

AutoIt/Injector.GTY!tr として識別される Snake Keylogger の亜種は、すでに世界中の 2億8,000万件を超える、感染試行のブロックに関連付けられている。これらの検出が最も集中しているのは、中国/台湾/インドネシア/トルコ/スペインなどの地域である。

このマルウェアは、悪意の添付ファイルやリンクを取り込んだフィッシング・メールを通じて配信され、盗んだデータを SMTP または Telegram ボット経由で C2 サーバへと流出させる。それにより攻撃者は、被害者の機密情報への不正アクセスの手段を得る。

回避と持続のための高度な手法

この亜種は、高度な手法を用いて検出を回避し、感染済のシステム上で持続性を維持する。

Windows 環境での自動化で多用されるスクリプト言語 AutoIt により、ペイロードをスタンドアロンの実行型ファイルにコンパイルし、従来のウイルス対策ソリューションを回避していく。

このマルウェアが実行されると、”%Local_AppData%\supergroup” などの特定のディレクトリへのファイルのドロップと、Windows Startup フォルダでのスクリプト作成が行われ、システムの再起動時における自動的な実行が確立される。

Snake Keylogger
Screenshot of ageless.vbs placed in the Startup folder for persistence.

さらに、Snake Keylogger は process hollowing を使用して、RegSvcs.exe などの正規のプロセスに悪意のコードを挿入する。この手法により、信頼できるシステム・プロセス内に入り込んだマルウェアは、検出を回避しながら活動できるようになる。

また、ブラウザの自動入力システムを標的とし、そこに保存されている認証情報とクレジットカードの詳細を抽出し、さらには、低レベルのキーボード・フックを介してキーストロークをキャプチャする。

Snake Keylogger
Snake Keylogger’s attempt to steal the victim’s credit card information

この脅威を特定する上で、FortiSandbox v5.0 の PAIX AI エンジンは重要な役割を果たした。このプラットフォームは、コードの構造と埋め込まれたシグネチャを調べる静的/動的な分析を組み合わせることで、疑わしいアクティビティをリアルタイムで検出する。それにより FSAv5 は、認証情報の収集とデータの流出を示す、難読化された文字列/API 呼び出し/ランタイム動作を発見した。

Fortinet の分析により、”checkip[.]dyndns[.]org” などの Web サイトを、地理情報の偵察に利用する Snake Keylogger は、HTTP POST リクエスト経由で盗んだデータを送信していることが判明した。

さらに Snake Keylogger は、ブラウザ関連のログイン認証情報にアクセスするために、暗号化されたスクリプトと特殊なモジュールを展開している。

ユーザー組織に強く推奨されるのは、Snake Keylogger の配信メカニズムであるフィッシング攻撃を防ぐための、電子メールのセキュリティ対策の強化である。FortiSandbox などの高度な脅威検出ツールを導入することで、このような脅威を効果的に特定して軽減できる。

ウイルス対策ソリューションの定期的な更新と、サイバーセキュリティのベストプラクティスに関する従業員のトレーニングも、進化するマルウェア攻撃によるリスクの軽減において重要である。この攻撃キャンペーンが浮き彫りにするのは、キーロガーの高度化である。機密情報を新たな脅威から保護するためには、積極的な対策が不可欠である。

Chrome/ Edge/Firefox ユーザーを標的としたキャンペーンが展開されており、世界中で 2億8,000万件以上という、膨大な数の感染試行がブロックされています。このマルウェアは、フィッシング・メールを介して配信されているそうですので、ご利用の方は、十分にご注意下さい。よろしければ、以下の関連記事も、カテゴリ LOLbin も、ご参照下さい。