Snake Keyloggerは、2020年頃から認識されているインフォスティーラー型マルウェアです。
このSnake Keyloggerの新種が確認されています。
現在のSnake Keyloggerはどのような動きをするのでしょうか。
- 入口はメール
始まりはメールです。
メールに巧みな文面を記載し、添付された文書を開かせようとします。
この部分の作戦は以前から変わりません。 - 添付はExcel文書
メールの本文で誘導して開かせる添付ファイルの形式はExcelです。
Excel文書を配布形式として選択するマルウェアは多くありますが、Snake Keyloggerは以前はPDFで配布されていたこともありました。
現時点ではExcelが選択されています。 - 埋め込みリンクオブジェクト
添付されていた悪意あるExcel文書には、埋め込みリンクオブジェクトが含まれています。
これはExcel文書が開かれた際にExcelによって自動的にリンクされたURLが要求される動きになります。 - リンク先のURLから別のURLに飛ぶ
開かれたURLには、コンテンツの本体はありません。
その代わりにLocationフィールドで別のURLを戻します。
別のURLのコンテンツはHTA形式です。
HTA形式はHypertext Markup Language Applicationです。
Internet Explorer 5以降利用可能となった技術で、HTML言語などを利用してPEアプリケーションとほぼ同程度のプログラムファイルを作成する事が可能なものになっています。 - 多段階での感染
実行されたHTAから多段階の感染が開始されます。
難読化されたJavaScript、そして、VBscriptとPowershellのスクリプト、それに呼び出されるLoaderアプリケーション、ファイルレスでバイナリを侵害環境に展開し、正規のプロセスをプロセスハロウイングしてSnake Keyloggerを動作させます。 - 情報収集と持ち出し
稼働を開始したマルウェアは情報を収集します。
収集するのは、デバイスの基本情報、保存された認証情報、キーストローク、スクリーンショット、システム クリップボード上のデータなど、被害者のデバイスにある個人情報や機密情報です。
Webブラウザー、電子メールクライアント、IMクライアント、FTPクライアントなどの50種を超える一般的なソフトウェアプログラムから保存された資格情報を収集します。
いろいろな亜種でいろいろな方法で持ち出しを行いますが、現在確認されている新しいバージョンでは、SMTPで持ち出します。
この流れ、被害者の立場で考えると、どこで踏みとどまることができたでしょうか。
被害者はメールを読んだ後、添付のExcel文書を開いています。
これで感染行為は開始されてしまいます。
Excel文書を開かなければ、感染行為は開始されませんでした。
Excelなどのアプリケーションには非常に柔軟な構造の機構を実現することのできる仕組みが実装されています。
こういったアプリケーションの文書を開く際には、その出自をよく確認することが重要ということですね。
Deep Analysis of Snake Keylogger’s New Variant
https://www.fortinet.com/blog/threat-research/deep-analysis-of-snake-keylogger-new-variant
| この記事をシェア |
|
|---|
