Grazie a una recente ricerca di Any.run è stato possibile individuare un infostealer alquanto singolare, denominato Snake.
A rendere particolarmente temibile questo malware attivo in ambiente Windows, vi è il suo ampio raggio d’azione. Oltre a poter registrare i tasti digitati dall’utente, questo agisce prendendo il controllo del PC, ottenendo ulteriori dati come:
- screenshot;
- accessi a software e piattaforme utilizzate dalla vittima;
- indirizzo IP
oltre ad avere funzioni che permettono di esfiltrare dati tramite FTP, SMTP e Telegram. Sebbene una priva versione di questo infostealer fosse già stata scoperta nel 2020 (all’epoca noto come 404 Keylogger) quest’ultima versione si presenta ancora più duttile e temibile.
Una volta che infetta un sistema il malware Snake agisce silenziosamente
L’attacco tramite Snake parte con un’e-mail malevola. Questa viene inviata con un riferimenti a una dogana boliviana e con un logo BMW, spingendo l’utente a scaricare l’allegato annesso.
Il file proposto si presenta come pago 4094.r09, che in realtà va ad offuscare pago 4094.exe. Per testare quest’ultimo eseguibile, gli analisti della sicurezza informatica hanno intenzionalmente archiviato credenziali false in Chrome ed Edge per studiarne come si comporta Snake una volta attivato.
Dopo aver salvato credenziali false, l’esecuzione di pago 4094.exe lo fa svanire, generando il processo “C:\Users\admin\Desktop\pago 4094.exe” e rilasciando il file tmpG484.tmp in “C:\Users\admin\ AppData\Local\Temp” per aumentare la persistenza del malware. A questo punto, Snake funziona in modo discreto e silenzioso per raccogliere informazioni, rubare credenziali ed esfiltrare dati senza mostrare nessun tipo di sintomo.
Come evitare questo malware?
Gli esperti di sicurezza hanno voluto offrire alcune indicazioni per evitare questo tipo di infezione.
Nel contesto aziendale è importante mantenere aggiornati i dipendenti rispetto ai potenziali rischi del Web. Andando più nello specifico, avere un approccio molto cauto su e-mail sospette (soprattutto se contengono link o allegati) è fondamentale.
Allo stesso tempo, un antivirus di qualità, costantemente aggiornato, è ormai pressoché d’obbligo. L’utilizzo dell’autenticazione a più fattori e una buona dose di prudenza, infine, dovrebbero aiutare a ridurre drasticamente i rischi legati a questo malware e altri agenti malevoli simili.