FortiGuard Labs ha annunciato la scoperta di una nuova variante del malware Snake Keylogger, identificata come AutoIt/Injector.GTY!tr. Questa minaccia ha portato al blocco di oltre 280 milioni di tentativi di infezione, con una diffusione significativa in paesi come Cina, Turchia, Indonesia, Taiwan e Spagna (utenti Windows).
La variante si diffonde principalmente attraverso e-mail di phishing contenenti allegati o link malevoli e mira a sottrarre informazioni sensibili dagli utenti di Windows, in particolare credenziali memorizzate nei browser web più diffusi come Chrome, Edge e Firefox.
L’analisi ha rilevato che questa variante di Snake Keylogger utilizza AutoIt, un linguaggio di scripting comunemente impiegato per automatizzare attività in ambiente Windows, per consegnare ed eseguire il payload malevolo.
“L’uso di AutoIt non solo complica l’analisi statica incorporando il payload nello script compilato, ma consente anche un comportamento dinamico che imita gli strumenti di automazione benigni“, spiega nel rapporto FortiGuard Labs il ricercatore di sicurezza Kevin Su.
Il malware impiega tecniche di offuscamento avanzate per eludere i meccanismi di rilevamento tradizionali, tra cui l’iniezione del proprio codice in processi legittimi tramite una tecnica nota come “process hollowing“.
Una volta eseguito, Snake Keylogger registra le sequenze di tasti, cattura le credenziali e monitora gli appunti, inviando poi le informazioni sottratte al server di comando e controllo (C2) tramite protocollo SMTP e bot di Telegram.
I ricercatori hanno inoltre evidenziato i metodi di persistenza adottati dal malware, come la creazione di script VBS posizionati nella cartella di avvio di Windows per garantire l’esecuzione automatica ad ogni riavvio del sistema. L’analisi dinamica ha permesso di osservare il comportamento in fase di runtime del malware, inclusa l’instaurazione di connessioni verso il server C2 e l’accesso a directory contenenti credenziali dei browser.
Questi approfondimenti sottolineano l’importanza di soluzioni di sicurezza avanzate per identificare e mitigare minacce in continua evoluzione come Snake Keylogger.
