02/11/21
Киберпреступники используют троян Snake для кражи паролей, что делает его одним из самых популярных семейств вредоносных программ, используемых в атаках на компьютеры под управлением Windows.
Snake активный как минимум с ноября 2020 года и не имеет отношения к вымогательскому ПО с таким же названием, использовавшемуся в прошлом.
Как сообщают специалисты ИБ-компании Cybereason, троян написан на языке программирования .NET и использует тот же механизм переноса данных, что и вымогательское ПО FormBook и Agent Tesla.
В настоящее время Snake можно купить на киберпреступных форумах в даркнете всего за $25, чем и объясняется резкое увеличение числа атак с его применением.
Основной способ распространения трояна - фишинг. Как правило, он устанавливается на систему жертвы через вредоносный документ, вложенный в электронное письмо, или фишинговые сайты, ссылки на которых представлены в электронных письмах.
После заражения компьютера Snake способен похищать учетные данные для 50 приложений, в том числе почтовых клиентов, web-браузеров и мессенджеров (Discord, Pidgin, FileZilla, Thunderbird, Outlook, Brave, Chrome, Edge, Firefox, Opera, Vivaldi, "Яндекс" и пр.).
Помимо прочего, Snake способен записывать нажатия клавиш на клавиатуре, похищать данные из буфера обмена и даже делать скриншоты всего экрана целиком.
Для обхода обнаружения троян отключает антивирусные решения путем завершения связанных процессов и даже отключает анализаторы сетевого трафика наподобие Wireshark. Затем Snake добавляет себя в список исключений Защитника Windows, что позволяет ему выполнять вредоносные команды PowerShell в обход обнаружения.
Вредонос добавляет запланированную задачу и редактирует ключ реестра, выполняющийся после авторизации пользователя в Windows и позволяющий Snake сохранять персистентность на компьютере.
Стоит также отметить, что Snake дает своим операторам возможность еще на этапе упаковки выбирать, какие функции они будут активировать для вредоносного ПО. Эта настройка позволяет им оставаться скрытыми за счет уменьшения количества используемых в атаках функций.
Наконец, когда дело доходит до кражи данных, Snake использует подключение к серверу FTP или SMTP или протокол HTTPS POST на конечной точке Telegram.
