Исследователи предупреждают об опасном вредоносном программном обеспечении, нацеленном на системы Windows. Это кейлоггер, который отслеживает и копирует нажатия клавиш на устройствах, чтобы перехватывать пароли и другие вводимые данные.
Новый вариант кейлоггера Snake (также известного как 404 Keylogger) оказался ответственным за более чем 280 млн попыток атак только с начала этого года. Это только те попытки, которые удалось зафиксировать. Количество неучтённых случаев может быть значительно выше.
В пиковые периоды кейлоггер Snake обнаруживал себя до 14 млн раз в день. Он не только записывает нажатия клавиш, но и может распознавать другие личные идентифицирующие данные, например, используя веб-инструменты для получения геолокации.
Как только вредоносное ПО похищает конфиденциальные сведения, оно загружает информацию на командный сервер через такие каналы, как SMTP, боты Telegram и HTTP-запросы POST.
Цель — заполучить пароли, банковские реквизиты и другие данные, чтобы передать их злоумышленникам. Для этого используются специальные модули, способные также считывать автозаполнение в браузере. Эксперты оценивают риск для частных пользователей и организаций как «высокий».
Кейлоггер Snake основан на AutoIT — программе, используемой для автоматизации процессов в Windows. Таким образом, вредоносное ПО, по всей видимости, разработано специально для систем Windows.
Как только Snake попадает в систему, он немедленно создаёт свою копию в папке автозагрузки Windows, гарантируя, что будет запускаться при каждом перезапуске. Для работы программы не требуются права администратора.
У этого варианта кейлоггера есть сложные бинарные файлы для маскировки, которые затрудняют его обнаружение антивирусными приложениями. Сам вредоносный код скрывается в процессах, которые система классифицирует как доверенные.
Как и большинство других вредоносных программ, кейлоггер Snake проникает в целевые системы в первую очередь через фишинговые атаки. Пользователям следует следить за тем, чтобы данные (например, адреса электронной почты) не передавались третьим лицам, чтобы избежать попадания в фишинговые кампании. Не менее важно не нажимать на ссылки и не открывать вложения в письмах от неизвестных отправителей.
