פושעי סייבר שוב תוקפים משתמשי Windows, הפעם במאמץ לפגוע בהם עם נוזקת keylogger אשר מסוגלת גם לגנוב אישורי גישה ולצלם צילומי מסך. מעבדות FortiGuard של Fortinet מזהירות מפני עלייה בהפצת נוזקת SnakeKeylogger: ברגע שהיא מופעלת במחשב הקורבן, מתעדת הנוזקה את הקשות המקשים של הקורבן בזמן שהוא מקליד את שם המשתמש והסיסמא שלו למערכות מקומיות ואינטרנטיות וכן מצלמת צילומי מסך כדי לחטט במידע ואז, שולחת את כל המידע הרגיש הזה לפושעי הסייבר המפעילים את הנוזקה.
"בהתבסס על הטלמטריה של FortiGuard, היו מאות פגיעות יום אפס", נכתב בקבוצת מודיעין האיומים. בזיהוי של יום אפס מתכוונת חברת Fortinet לנוזקה שפעלה בחשאי למרות שעדיין לא הייתה מתועדת במסד הנתונים של נוזקות מוכרות. הדבר מצביע על כך שנוזקת SnakeKeylogger שנתקלה באנטי-וירוס היוותה זן חדש מבחינת Fortinet. חתימה לזיהוי הנוזקה נוספה למנוע הזיהוי של FortiGuard ב- 31 ביולי. נוזקת SnakeKeylogger, הידועה גם בשם KrakenKeylogger, הינה נוזקה לגניבת מידע מבוססת מיקרוסופט.NET והיא ידועה ביכולת גניבת אישורים וביכולות רישום הקשות מקלדת. היא נמכרה במקור על בסיס מנוי בפורומי פשעי סייבר רוסיים. על פי צוות מחקר איומי הסייבר של Splunk, הפכה הנוזקה לאיום משמעותי בנובמבר 2020, כשהיא משתמשת ב- FTP כדי להעביר קבצים פרטיים של אנשים וב- SMTP כדי לשלוח מיילים המכילים נתונים רגישים. כמו כן, משולבת הנוזקה עם אפליקציית ההודעות Telegram, מה שמאפשר לפושעי הסייבר לקבל מידע גנוב בזמן אמת. "יתר על כן, מפגינה הנוזקה מיומנות באיסוף נתוני לוח, אישורי דפדפן וביצוע סיורי מערכת ורשת", ציינו חוקרי האבטחה של Splunk. בנוסף, הנוזקה "מדגימה תחכום ראוי לציון על ידי שימוש במגוון הצפנות כדי לטשטש את הקוד שלה ולהתחמק מזיהוי", הוסיף הצוות.
בעוד שהתראת Fortinet אינה מציינת כיצד פורצים פושעי הסייבר למכונות כדי לפרוס את SnakeKeylogger, מופצת הנוזקה הזו בדרך כלל באמצעות מתקפות דיוג. בהתראה נפרדת על השימוש של SnakeKeylogger בחטיפת חשבונות מקוונים של קורבנות, אמרה חברת צ'ק פוינט שקוד זדוני מוסתר בדרך כלל במסמך Office בעל מבנה זדוני, או קובץ PDF המצורף לאימייל וברגע שהנמען פותח את המסמך, נטענת הנוזקה ומותקנת על המחשב.
