黑客要取得作案的工具,成本可说是越来越低,甚至只要几张百元钞票就能取得。
例如,安全企业Cybereason披露恶意软件Snake攻击显著增加的情况,并指出一旦黑客使用这项工具,就能窃取受害计算机超过50种应用程序的帐密,但他们取得该恶意软件的代价,最低竟然只要25美元,比起许多杀毒软件的价格都还要低。研究人员认为,这很可能是吸引很多黑客使用Snake来发动攻击的原因。
这个恶意软件约从2020年11月开始活动,但研究人员在今年8月侦测到运用Snake的攻击事故大幅增加,因而进一步调查,发现很可能的原因,是此作案工具极为容易取得。至于黑客是否锁定特定群体发动攻击?研究人员表示,无论是从产业或是地理位置来看,这些攻击者没有集中针对特定的目标。
究竟黑客运用这个恶意软件的情况有多泛滥?根据另一家安全公司Check Point在7月的调查,Snake为攻击者使用次数第2多的恶意软件,有3%的组织是它的受害者,仅次于恶名昭彰的僵尸网络软件Trickbot。
再者,这个恶意软件也与多个窃密软件有公用之处,很有可能是源自于其他窃密软件修改而成。Cybereason的研究人员提到,Snake在结构上,与FormBook、Agent Telsa等窃密软件存在相似的地方,程序代码的也与另一款恶意软件Matiex非常雷同,研究人员指出,在2021年2月以前的Snake,窃密的功能与Matiex可说是极为相似。
攻击者挟带Snake的渠道,通常是通过伪装成订单的钓鱼邮件,并且使用压缩文件将其包装。一旦收信人不慎打开附件的压缩文件并执行Snake,这个恶意软件就会植入到计算机里。
附带一提,攻击者为了让这款恶意软件运行时,不会被杀毒软件影响,Snake不只会将自己加入Microsoft Defender的白名单,也会停用杀毒软件;而为防范安全人员通过网络流量发现有异,这款木马程序还会停用Wireshark网络封包分析工具的处理程序。
Snake是具备多种攻击能力的恶意软件,由.NET开发而成,主要的功能是可以暗中键盘监听,或是截取屏幕截屏,以及窃取应用程序的帐密──这个恶意软件能够窃取帐密的来源相当多样,包含网页浏览器、收信软件、即时通信软件,以及FTP用户端软件等4种类型的网络应用程序。
从Cybereason列出的软件中,Snake针对的大部分都是网页浏览器,除了最多人使用的Chrome、Edge、Firefox,也包含针对中国用户的360浏览器、猎豹浏览器、QQ浏览器等;甚至强调用户隐私的Brave、Iridium,也是这款恶意软件攻击范围。
而为了将窃得的资料回传不致于被发现,Snake可以支持多种通信协议协议来传输资料,包含了FTP、SMTP,以及Telegram等。
Snake发送窃得的帐密资料,也包含如图中通过的SMTP协议,而这是邮件软件寄信的通信协议。