Snake键盘记录器绕过Windows Defender并利用计划任务窃取凭证
威胁行为者通过复杂的钓鱼操作冒充土耳其航空航天工业公司(TUSAŞ),攻击土耳其企业,尤其是国防和航空航天领域的公司。该活动分发伪装成合同文档的恶意电子邮件,例如文件“TEKLİF İSTEĞİ – TUSAŞ TÜRK HAVACILIK UZAY SANAYİİ_xlsx.exe”,其SHA256哈希为0cb819d32cb3a2f218c5a17c02bb8c06935e926ebacf1e40a746b01e960c68e4。
这个PE32可执行文件被识别为MS Windows的.NET程序集,提供Snake键盘记录器的变种,这是一种信息窃取恶意软件,旨在从浏览器和邮件客户端收集敏感数据,包括凭证、Cookie和财务信息。
新兴钓鱼威胁
执行后,恶意软件采用高级持久化技术,例如使用PowerShell命令将自身添加到Windows Defender的排除列表中以逃避检测,并通过计划任务实现自动启动,确保对受感染系统的长期访问。
该事件已报告给土耳其国家计算机应急响应小组(USOM),并通过协作情报共享持续努力通知受影响的受害者并减轻风险。
分析显示恶意软件的分层结构,始于一个名为“temperatureConverterForm”的无害Windows Forms应用程序,执行温度转换等无害操作以掩盖其意图。在运行时,它使用Assembly.Load和Activator.CreateInstance将额外负载加载到内存中,展示套娃式嵌套。
使用Chiron Unpacker等工具解包暴露核心恶意二进制文件,代号“Remington”,其中包括用于逃避VM、Sandboxie、Windows Defender和任务管理器的空反分析存根,表明未来可能进行增强。
技术分解
键盘记录器通过遍历注册表项,针对Outlook、FoxMail和Thunderbird等邮件客户端的数据,通过decryptOutlookPassword等函数分类和解密密码。它扩展到窃取自动填充数据、信用卡详情、下载记录、顶级网站和来自30多个浏览器的Cookie,包括Chrome、Firefox、Brave、Vivaldi和Microsoft Edge。
反机器人功能检查已知沙箱IP地址,而数据外泄通过可配置渠道如SMTP、FTP或Telegram进行。配置提取显示DES加密的SMTP凭证,可使用Python脚本解密,利用MD5派生密钥进行ECB模式解密,揭示服务器“mail.htcp.homes”、端口587和电子邮件端点如“royals@htcp.homes”等详情。
自定义YARA规则检测Cassandra Protector混淆,标记具有高熵部分、特定库如System.Drawing.Bitmap和反射模式的.NET样本。
Detect It Easy结果
这一深入分析强调恶意软件依赖系统调用如NtCreateUserProcess进行进程注入,PowerShell进行排除(例如Add-MpPreference -ExclusionPath),以及schtasks.exe通过XML定义的任务在临时目录中实现持久化。
防御者可以利用提供的情报,包括解密配置和YARA规则,来加强检测。该活动突显了目标行业中凭证盗窃的不断演变策略,强调需要增强电子邮件过滤、行为分析和运行时监控以应对此类威胁。
妥协指标(IOCs)
| 类型 | 指标 |
|---|---|
| 文件名 | TEKLİF İSTEĞİ – TUSAŞ TÜRK HAVACILIK UZAY SANAYİİ_xlsx.exe |
| SHA256 | 0cb819d32cb3a2f218c5a17c02bb8c06935e926ebacf1e40a746b01e960c68e4 |
| Montero | 3c9cddf85962249a967b3827e3edb4acb710dc0e3088c619342e2ce6df35bfbc |
| cvJfV8 | 2fa8156e9d4fb47cd20908818b9172f86ed13eb683041658f242c58ce0a9cff |
| jVf4P2 | 859b8700fc6111c40b806d114c43e2e3b4faa536eeab57d604818562905b911 |
| Captive | 11f577cc6b6af304332d47fba2122ffb193e81378662ea7093ebe971107d89d6 |
| SMTP | Server: mail.htcp.homes; Port: 587; Email: royals@htcp.homes |