Gli esperti di Cybereason Global Security Operations Center hanno analizzato Snake, un malware ricco di funzionalità che ruba informazioni, implementato nel linguaggio di programmazione .NET., che rappresenta una minaccia significativa per la privacy e la sicurezza degli utenti.
Apparso per la prima volta nel panorama delle minacce alla fine di novembre 2020, Snake presenta molteplici funzionalità di esfiltrazione: la registrazione dei tasti, nonché i dati degli appunti, gli screenshot e il furto di credenziali. Snake può rubare le credenziali da oltre 50 applicazioni, tra cui client FTP (File Transfer Protocol), client di posta elettronica, piattaforme di comunicazione e browser web. Snake può esfiltrare i dati attraverso una varietà di protocolli, come FTP, Simple Mail Transfer Protocol (SMTP) e Telegram.
Sull’ambiente compromesso in cui viene eseguito, Snake può raccogliere informazioni sul sistema operativo e sull’hardware, ottenendo il nome e la versione del sistema operativo, la quantità di disco rigido e di memoria fisica e il nome del computer, nonché informazioni di geolocalizzazione e data-ora: Snake invia richieste ai servizi web checkip.dyndns.org e freegeoip.app per scoprire l’indirizzo IP del sistema operativo su cui gira Snake e la geolocalizzazione del sistema in base all’indirizzo IP.
Gli attori malintenzionati distribuiscono Snake come allegati alle e-mail di phishing con vari temi, come le richieste di pagamento. Gli allegati sono in genere file di archivio con estensioni di file come img, zip, tar e rar e archiviano un eseguibile .NET che implementa il malware Snake. Gli utenti devono prima decomprimere e poi avviare l’eseguibile .NET per infettare i loro sistemi. L’eseguibile mette in scena le funzionalità di furto di informazioni del malware Snake su sistemi compromessi e stabilisce la persistenza.
Il malware è disponibile per l’acquisto nel dark web per una fascia di prezzo compresa tra $ 25 e $ 500. Gli attori dannosi hanno distribuito Snake continuamente attraverso campagne di phishing dal novembre 2020. Il Team di Cybereason GSOC ha osservato un picco di infezioni alla fine di agosto 2021 senza una tendenza specifica nel settore o le posizioni geografiche delle vittime mirate.
Gli esperti, inoltre, hanno osservato che i meccanismi di staging dei recenti campioni del malware FormBook e Agent Tesla sono quasi identici a quelli dei campioni Snake.
Cyberason ha pubblicato in questa analisi una serie di raccomandazioni utili per evitare di essere infettati da Snake.
https://www.cybereason.com/blog/threat-analysis-report-snake-infostealer-malware
