Alerte sur les menaces : Le SnakeKeylogger cible les utilisateurs de Windows
Une nouvelle vague d’infections
Les utilisateurs de Windows sont de nouveau dans le viseur des cybercriminels, cette fois-ci avec un logiciel malveillant capable d’enregistrer les frappes au clavier, de voler des identifiants et de prendre des captures d’écran.
Augmentation des infections
Ce mois-ci, Fortinet, à travers son laboratoire FortiGuard, a signalé une augmentation des infections par le SnakeKeylogger. Une fois installé sur un ordinateur, ce malware enregistre les frappes de la victime lorsqu’elle se connecte à ses comptes, extrait les noms d’utilisateur et mots de passe de ses fichiers, et prend des captures d’écran pour espionner les utilisateurs. Toutes ces informations sensibles sont ensuite envoyées aux fraudeurs.
Détection des menaces
Selon les données de FortiGuard, des centaines de détections de type « zero-day » ont été enregistrées. Cela signifie que le logiciel malveillant agissait de manière suspecte sans être encore répertorié dans la base de données des menaces connues, indiquant que le SnakeKeylogger rencontré était une nouvelle variante. Une signature pour détecter ce malware a été ajoutée au moteur de détection de FortiGuard le 31 juillet, dans la version 92.06230.
Caractéristiques du SnakeKeylogger
Également connu sous le nom de KrakenKeylogger, ce voleur d’informations basé sur Microsoft .NET est déjà reconnu pour ses capacités de vol d’identifiants et d’enregistrement des frappes. Initialement proposé sur des forums criminels russes sous forme d’abonnement, il est devenu une « menace significative » en novembre 2020, selon l’équipe de recherche sur les menaces de Splunk. Ce malware est particulièrement habile à exfiltrer des données des appareils des victimes, utilisant FTP pour transférer des fichiers privés et SMTP pour envoyer des e-mails contenant des informations sensibles. Il s’intègre également à l’application de messagerie Telegram, permettant aux criminels de recevoir des informations volées en temps réel.
Techniques d’infiltration
Les chercheurs en sécurité de Splunk ont noté que le malware est également capable de collecter des données du presse-papiers, des identifiants de navigateur, et de réaliser des reconnaissances système et réseau. De plus, il démontre une sophistication notable en utilisant divers cryptors ou loaders pour obscurcir son code et échapper à la détection par des environnements de test.
Précautions à prendre
Bien que l’alerte de Fortinet ne précise pas comment les criminels accèdent aux machines pour déployer le SnakeKeylogger, ce type de malware est généralement diffusé via des campagnes de phishing. Dans une alerte distincte concernant l’utilisation du SnakeKeylogger pour détourner les comptes en ligne des victimes, Check Point a indiqué que le code malveillant est souvent dissimulé dans un document Office ou un PDF malveillant joint à un e-mail. Une fois que le destinataire ouvre ce document, le malware trouve un moyen de télécharger et d’exécuter le SnakeKeylogger.
Recommandations pour la sécurité
FortiGuard Labs recommande aux défenseurs de réseau d’être prudents lors de l’ouverture d’e-mails, du clic sur des liens et du téléchargement de pièces jointes. De plus, il est conseillé de maintenir les services de sécurité à jour avec les versions les plus récentes des bases de données et des moteurs. Il est également crucial d’activer les fonctionnalités antivirus et de sandbox dans les politiques locales et réseau, ainsi que d’utiliser des produits de sécurité des points de terminaison qui protègent les utilisateurs avant et après une exploitation.
