Introduction
Les cybermenaces évoluent constamment, et les acteurs malveillants ne cessent de perfectionner leurs techniques pour contourner les mesures de sécurité. Récemment, une nouvelle souche de malware connue sous le nom de Snake Keylogger a été identifiée. Ce malware, d’origine russe et codé en .NET, utilise des utilitaires Java légitimes pour échapper à la détection par les outils de sécurité. Cet article explore en détail le fonctionnement de Snake Keylogger, ses méthodes de propagation, et les mesures de protection contre cette menace.
Qu’est-ce que Snake Keylogger ?
Snake Keylogger est un malware de type « stealer » qui possède plusieurs capacités clés, notamment l’enregistrement des frappes de touches (keylogging), le vol de credentials sauvegardés, la capture d’écran, et la collecte de données à partir du presse-papiers pour les envoyer à l’attaquant. Il est principalement propagé via des campagnes de phishing et de spear phishing, où des documents Office ou PDF malveillants sont joints aux e-mails.
Fonctionnement de Snake Keylogger
Exploitation des Utilitaires Java
L’une des caractéristiques distinctives de Snake Keylogger est son utilisation d’utilitaires Java légitimes pour contourner les outils de sécurité. Selon un rapport récent, les attaquants utilisent un outil de débogage Java légitime renommé, jsadebugd.exe, observé pour la première fois dans un contexte malveillant. En exploitant la vulnérabilité de chargement de DLL (DLL sideloading) dans jsadebugd.exe, les attaquants chargent une DLL malveillante nommée jli.dll, qui injecte ensuite Snake Keylogger dans le processus légitime InstallUtil.exe.
Campagnes de Phishing
Snake Keylogger est souvent distribué via des campagnes de phishing ciblant divers types de victimes, y compris des entreprises, des gouvernements et des individus. Par exemple, une récente campagne de phishing identifiée par l’équipe d’intelligence de S2 Group utilisait des e-mails de spearphishing offrant des produits pétroliers. Ces e-mails contenaient une pièce jointe zipée utilisant le binaire légitime jsadebugd.exe et la technique de chargement de DLL pour injecter Snake Keylogger dans le binaire légitime InstallUtil.exe.
Persistance et Exfiltration des Données
Une fois exécuté, Snake Keylogger dépose une copie de lui-même dans le dossier %Local_AppData%\supergroup sous le nom ageless.exe, en définissant ses attributs comme cachés. Il dépose également un autre fichier dans le dossier %Startup% nommé ageless.vbs. Ce script contient une commande qui utilise WScript.Shell() pour appeler la méthode Run(), exécutant ageless.exe et assurant que le malware s’exécute automatiquement au démarrage du système.
En plus du vol de données, Snake Keylogger exfiltre les informations volées vers son serveur de commande et de contrôle (C2) en utilisant SMTP (e-mail) et des bots Telegram, permettant aux attaquants d’accéder aux credentials volés et à d’autres données sensibles.
Techniques d’Évasion
Snake Keylogger utilise une variété de techniques pour éviter la détection par les outils de sécurité. Par exemple, il utilise des cryptors ou des chargeurs pour obfusquer son code et échapper à la détection par les sandboxes. Une analyse récente a révélé que Snake Keylogger utilise l’entrée de données .RSRC pour dissimuler la charge utile chiffrée AES du malware.
De plus, Snake Keylogger utilise des scripts AutoIt pour échapper à la détection. Une nouvelle variante de Snake Keylogger a été observée en train de cibler activement les utilisateurs Windows en Chine, en Turquie, en Indonésie, à Taïwan et en Espagne. Cette variante utilise des scripts AutoIt pour éviter la détection et maintenir l’accès au système compromis.
Mesures de Protection
Pour se protéger contre Snake Keylogger et d’autres menaces similaires, les organisations et les individus peuvent prendre plusieurs mesures :
- Formation et Sensibilisation : Les employés doivent être formés pour reconnaître et répondre aux tentatives de phishing et d’autres formes de social engineering. Les utilisateurs doivent être informés des risques associés à l’ouverture de pièces jointes et de liens non sollicités.
- Mises à Jour Régulières : Les systèmes et logiciels doivent être régulièrement mis à jour pour corriger les vulnérabilités connues. Cela inclut les mises à jour du système d’exploitation, des applications et des outils de sécurité.
- Solutions de Sécurité Avancées : Les organisations doivent mettre en place des solutions de sécurité avancées capables de détecter et de bloquer les malwares, même lorsqu’ils utilisent des techniques d’évasion sophistiquées. Cela peut inclure des solutions de détection et de réponse des endpoints (EDR), des solutions de détection et de réponse étendues (XDR), et des solutions de détection et de réponse réseau (NDR).
- Vérification des Sources : Les utilisateurs doivent toujours vérifier la légitimité des messages et des instructions avant de les suivre. Par exemple, ils peuvent contacter le service informatique de leur organisation pour vérifier si une notification technique est légitime avant de suivre les instructions.
Conclusion
Snake Keylogger représente une menace significative pour les organisations et les individus en raison de sa capacité à exploiter des utilitaires légitimes et à utiliser des techniques d’évasion sophistiquées pour contourner les outils de sécurité. En comprenant son fonctionnement et en mettant en place des mesures de protection appropriées, il est possible de réduire considérablement le risque d’être victime de cette menace. La vigilance et la proactivité sont essentielles pour se protéger contre les cybermenaces en constante évolution.
Cyberfishement 🐡