Эксперты центра исследования киберугроз Solar 4RAYS группы компаний «Солар» обнаружили новую волну фишинговой кампании с использованием вируса-стиллера SnakeKeylogger. Цели злоумышленников — крупные российские компании из сферы промышленности, сельского хозяйства и энергетики. Вредонос появился еще в 2020 году, однако сейчас эксперты наблюдают пик его активности. Популярности вируса способствует его доступность даже для низкоквалифицированных хакеров.

ВПО SnakeKeylogger доставляется на компьютер жертвы через фишинг. Злоумышленники рассылают вредоносные письма с поддельных или скомпрометированных адресов российских и зарубежных компаний. В теме письма обычно есть следующие ключевые слова: «Договор» или «Contract/Договор». А само письмо содержит вложенный архив с именем «Contract.bz». Вот пример подобной рассылки:

Пример письма


В архиве находится исполняемый файл «Contract.exe», отвечающий за доставку и установку ВПО в системе жертвы. Завершив свою работу, вредонос отправляет все собранные данные злоумышленнику.

SnakeKeylogger — это стиллер, то есть ВПО нацеленное на автоматический сбор учетных данных в зараженной системе. В тоже время SnakeKeylogge обладает множеством дополнительных возможностей. В частности, вирус имеет функции кейлоггера, то есть может записывать нажатия на клавиатуру и движения мышки, способен создавать скриншоты и собирать данные из буфера обмена.

Также SnakeKeylogger обладает обширным функционалом кражи учетных данных из множества популярных браузеров, почтовых клиентов и т.д. Еще одна опция — это поиск и завершение процессов различных антивирусных решений, отладчиков и других процессов, связанных с мониторингом хостовой и сетевой активности, что затрудняет его обнаружение на зараженной системе.

«Несмотря на внешнюю простоту, SnakeKeylogger представляет серьезную угрозу для корпоративной и личной кибербезопасности. Этот вредоносный софт распространяется по подписке в даркнете, что позволяет киберпреступникам за определенную плату приобрести уже готовый инструмент без необходимости написания собственного вредоносного кода. Поэтому даже не самый подготовленный атакующий может легко использовать SnakeKeylogger для сбора учетных данных к различным веб-сервисам компании и не только. Несмотря на то, что вредонос обладает некоторыми функциями уклонения от обнаружения, большинство современных антивирусов при своевременном обновлении сигнатурных баз детектируют его при попытке выгрузки на атакуемую систему», — отметил эксперт центра исследования киберугроз Solar 4RAYS ГК «Солар» Дмитрий Маричев.

Для предотвращения заражения и дальнейшего развития атаки Snake Keylogger (и подобного ВПО) эксперты советуют регулярно проводить тренинги по кибербезопасности для сотрудников компании, а также использовать решения для защиты электронной почты (Secure Email Gateway), которые предотвращают доставку фишинговых писем до конечного пользователя.