SnakeStealer, інформаційний викрадач, який очолює рух за крадіжку паролів

  • Згідно з телеметрією ESET, SnakeStealer лідирує у світі за кількістю виявлених інформаційних крадіжок, на його частку припадає майже 1/5 випадків.
  • Активний з 2019 року (раніше 404 Keylogger), його зростання базується на моделі шкідливого програмного забезпечення як послуги та витісненні Agent Tesla.
  • Він краде облікові дані браузера, електронної пошти та чату, виконує кейлог, робить скріншоти та витягує дані через FTP, Telegram або електронну пошту.
  • Захист включає оновлення, багатофакторну автентифікацію, рішення безпеки та обережність. phishing та вкладення.
Alberto Navarro

4 хвилин

Інформаційний крадіжник паролів

SnakeStealer цього року був у центрі уваги новин про кібербезпеку: внутрішні показники ESET свідчать про це. 20% виявлень У світовому масштабі, випереджаючи інші активні родини. Їхня мета чітка: приховано, у великих масштабах та за допомогою гнучкого ланцюга розповсюдження викрадати облікові дані та конфіденційні дані.

В умовах домінування кримінального бізнесу та індустріалізації злочинності, його розширення йшло пліч-о-пліч із форматом зловмисне програмне забезпечення як послуга (MaaS)Ця модель дозволяє більшій кількості учасників запускати кампанії без особливого досвіду, тоді як SnakeStealer виконує брудну роботу: збір паролів, збереження даних та різні методи вилучення.

Походження та розквіт SnakeStealer

Це сімейство програм існує з 2019 року, коли його рекламували як кейлогер 404, а в продуктах ESET його виявляли за сигнатурою. MSIL/Spy.Agent.AESЙого назва нагадує класична гра «Змійка»Перші використані варіанти Discord як розміщення крадіжка, завантажений після того, як жертва взаємодіяла з вкладенням фішингового електронного листа.

Протягом 2020 та 2021 років піки активності спостерігалися в різних регіонах без чіткої географічної закономірності, причому виявлення були поширені по всьому світу, і жодна повноцінна кампанія не була пов'язана з Латинською Америкою. Остаточний стрибок відбувся після падіння Агент ТеслаЙого власні оператори вказували на SnakeStealer як на заміну в каналах Telegram, де він пропонувався як MaaS, що збіглося з зупинити оновлення цієї іншої родиниПаралельно з цим, інші загрози, такі як AsyncRAT, HoudRAT, LummaStealer та FormBook, залишалися присутніми, але не випереджали зростання SnakeStealer.

Роботи-кролики у Флориді
Пов'язана стаття:
Роботи-кролики у Флориді: тактика лову пітонів в Еверглейдс

Шкідливе програмне забезпечення для крадіжки паролів у 2025 році

Можливості, вектори та ексфільтрація

SnakeStealer виділяється не унікальною технікою, а тим, що є шкідливим програмним забезпеченням. модульний чиї функції активуються або деактивуються під час створення шкідливого файлу. Розповсюдження з часом розвивалося: хоча перший контакт зазвичай все ще фішинговий вкладений файл, його також можна побачити в захищених паролем стиснутих пакетах, менш поширених форматах, таких як RTF або ISO, що використовуються як завантажувачі, і навіть, спорадично, маскувалися під тріщин або підроблені програми.

  • Ухилення та антианаліз: Завершує процеси інструментів безпеки, налагоджувачів та утиліт аналізу; перевіряє обладнання, щоб запобігти виконанню на віртуальних машинах.
  • Стійкість: зміни в завантажувальних записах Windows, щоб вони залишалися активними після перезавантаження.
  • Крадіжка облікових даних: Вилучення з браузерів, баз даних, клієнтів електронної пошти та чату (включаючи Discord), а також паролів мереж Wi-Fi.
  • Моніторинг команди: захоплення буфера обміну, кейлоггинг (кейлоггінг) та робити скріншоти.

Після збору інформації оператор може обрати кілька каналів для її видалення із системи: завантаження на сервер за допомогою Ftp, публікація на каналі Telegram через HTTP або надсиланням електронна пошта як стиснутий файл. Цей варіант ускладнює одноразове блокування та вимагає багаторівневого захисту.

Загроза крадіжки облікових даних

Захисні та реагувальні заходи

Зменшення поверхні атаки є ключовим: поєднання звичок, технологій та перевірки може мати вирішальне значення проти поширений інфостейлер наприклад, SnakeStealer. Бажано впровадити базові засоби контролю та підготуватися до реагування на інциденти.

  • Оновлення операційну систему та програми, щойно стануть доступні виправлення.
  • Наймати рішення безпеки як на комп’ютерах, так і на мобільних пристроях.
  • Недовіра вкладення та посилання у небажаних електронних листах або повідомленнях; перевіряти через офіційні канали, якщо відправник стверджує, що є відомим брендом.
  • Активуйте багатофакторна автентифікація (MFA) по можливості, щоб пом’якшити наслідки крадіжки паролів.
  • Якщо ви підозрюєте інфекцію, змініть усі паролі з іншого пристрою, скасовувати відкриті сесії та відстежувати аномальні рухи у ваших облікових записах.

Ці методи не гарантують імунітету, але вони підвищують планку для зловмисників і ускладнюють використання викрадених даних. несанкціонований доступ у ланцюзі.

Захист від викрадачів інформації

З моменту появи перших сигналів минуло десятиліття, і SnakeStealer поєднує гнучкий розподіл, модель MaaS та перевірені можливості, щоб позиціонувати себе як... найпопулярніший інфотейлер моментуТим не менш, поєднання патчів, багатофакторної автентифікації (MFA), рішень безпеки та запобіжних заходів проти фішингу залишається найефективнішим бар'єром для перешкоджання вашому бізнесу та обмеження цінності викраденої інформації.


Слідкуйте за нами в Новинах Google