SnakeStealer, крадецът на информация, водещ движението за кражба на пароли

  • Според телеметрията на ESET, SnakeStealer е водеща в откриването на кражба на информация в световен мащаб, като представлява близо 1/5 от всички случаи.
  • Активен от 2019 г. (преди това 404 Keylogger), възходът му се основава на модела „зловреден софтуер като услуга“ и изместването на Agent Tesla.
  • Той краде идентификационни данни за браузър, имейл и чат, извършва кейлогинг, прави екранни снимки и се измъква чрез FTP, Telegram или имейл.
  • Защитата включва актуализации, многофакторна автентичност (MFA), решения за сигурност и повишено внимание при Фишинг и прикачени файлове.
Alberto Navarro

4 Minutos

крадец на информация за пароли

SnakeStealer беше начело на заглавията за киберсигурност тази година: вътрешните показатели на ESET показват, че това 20% от засечките В световен мащаб, с преднина пред други активни семейства. Фокусът им е ясен: кражба на идентификационни данни и чувствителни данни тайно, в голям мащаб и с гъвкава верига за дистрибуция.

В среда, доминирана от криминален бизнес и индустриализация на престъпността, разширяването му върви ръка за ръка с формата зловреден софтуер като услуга (MaaS)Този модел позволява на повече участници да стартират кампании без много опит, докато SnakeStealer върши мръсната работа: събиране на пароли, запазване на пароли и различни методи за извличане на данни.

Произход и възход на SnakeStealer

Това семейство вируси датира от 2019 г., когато е било рекламирано като 404 Keylogger и в продуктите на ESET е било откривано под сигнатурата MSIL/Spy.Agent.AESИмето му напомня за класическа игра със змииПървите използвани варианти раздор като настаняване на крадец, изтеглен след като жертвата е взаимодействала с прикачен файл към фишинг имейл.

През 2020 и 2021 г. пикове на активност бяха наблюдавани в различни региони без ясен географски модел, като засечките бяха разпръснати по целия свят и не бяха проведени пълни кампании, приписвани на Латинска Америка. Окончателният скок дойде след падането на Агент ТеслаСобствените му оператори посочваха SnakeStealer като заместител в Telegram каналите, където той се предлагаше като MaaS, нещо, което съвпадна с спрете актуализациите на това друго семействоУспоредно с това, други заплахи като AsyncRAT, HoudRAT, LummaStealer и FormBook останаха налице, но без да изпреварят възхода на SnakeStealer.

Роботизирани зайци във Флорида
Свързана статия:
Роботизирани зайци във Флорида: тактиката за улов на питони в Евърглейдс

Зловреден софтуер за кражба на пароли през 2025 г.

Възможности, вектори и ексфилтрация

SnakeStealer не се откроява с уникална техника, а с това, че е зловреден софтуер модулна чиито функции се активират или деактивират при генерирането на злонамерен файл. Разпространението се е развило с течение на времето: въпреки че първият контакт обикновено все още е фишинг прикачен файл, наблюдава се и в компресирани пакети, защитени с парола, по-рядко срещани формати като RTF или ISO, използвани като изтеглящи програмии дори, спорадично, камуфлирани като пукнатини или фалшиви приложения.

  • Избягване и антианализ: Прекратява процесите на инструменти за сигурност, дебъгери и помощни програми за анализ; проверява хардуера, за да предотврати изпълнението на виртуални машини.
  • Устойчивост: модификации на записите за зареждане на Windows, за да останат активни след рестартиране.
  • Кражба на удостоверение: Извличане от браузъри, бази данни, имейл и чат клиенти (включително Discord), както и пароли за Wi-Fi мрежи.
  • Мониторинг на екипа: заснемане на клипборда, регистриране на клавишни комбинации (Keylogging) и правене на екранни снимки.

След като информацията е събрана, операторът може да избере няколко канала за премахването ѝ от системата: качване на сървъра чрез FTP, публикация в канал на Telegram чрез HTTP или изпращане чрез електронна поща като компресиран файл. Този вариант усложнява единичното блокиране и изисква многопластова защита.

Заплаха от кражба на идентификационни данни

Защитни и реагиращи мерки

Намаляването на повърхността за атака е ключово: комбинация от навици, технологии и проверка може да направи разликата срещу широко разпространен крадец на информация като например SnakeStealer. Препоръчително е да се внедрят основни контроли и да се подготви реакция при инциденти.

  • актуализиран операционната система и приложенията веднага щом станат налични корекции.
  • Наемете решения за сигурност както на компютри, така и на мобилни устройства.
  • Недоверие прикачени файлове и връзки в непоискани имейли или съобщения; проверете чрез официални канали, ако подателят твърди, че е добре позната марка.
  • Активирайте многофакторно удостоверяване (MFA) винаги когато е възможно, за да се смекчи въздействието на кражбата на пароли.
  • Ако подозирате инфекция, сменете всички пароли от друго устройство, отменявайте отворени сесии и наблюдавайте необичайни движения във вашите акаунти.

Тези практики не гарантират имунитет, но повишават летвата за нападателите и затрудняват използването на откраднати данни. неоторизиран достъп във верига.

Защита срещу крадци на информация

С десетилетие след първите си сигнали, SnakeStealer комбинира гъвкаво разпространение, MaaS модел и доказани възможности, за да се позиционира като най-гледаният крадец на информация на моментаВъпреки това, комбинацията от корекции, многофакторна автентификация (MFA), решения за сигурност и предпазливост от фишинг остава най-ефективната бариера за възпрепятстване на вашия бизнес и ограничаване на стойността на открадната информация.


Следвайте ни в Google Новини