Uma nova variante do Snake Keylogger está circulando entre usuários de Windows em países como China, Turquia, Indonésia, Taiwan e Espanha. Desde o início de 2025, segundo a Fortinet FortiGuard Labs, mais de 280 milhões de tentativas de infecção foram bloqueadas globalmente.
Como Funciona o Novo Snake Keylogger
Tradicionalmente distribuído por e-mails de phishing contendo anexos e links maliciosos, o Snake Keylogger tem como principal objetivo roubar informações pessoais de navegadores como Chrome, Edge e Firefox. Entre suas funções estão:
- Registro de Teclas: Captura de pressionamentos de teclas para roubar senhas e dados confidenciais.
- Monitoramento da Área de Transferência: Coleta de informações que passam pela área de transferência.
- Exfiltração de Dados: Utiliza o Protocolo Simples de Transferência de Correio (SMTP) e bots do Telegram para enviar informações roubadas aos invasores.
Uso do AutoIt para Dificultar a Detecção
O que diferencia essa nova variante é o uso do AutoIt, uma linguagem de script que possibilita a criação de executáveis que imitam ferramentas legítimas de automação. Essa técnica torna a análise estática do código muito mais complexa, pois:
- O malware é compilado em um binário utilizando AutoIt, mascarando suas reais intenções.
- O executável é instalado como “ageless.exe” na pasta
%Local_AppData%\supergroup. - Um script Visual Basic (.vbs) é criado na pasta de inicialização do Windows, garantindo que o malware seja reexecutado automaticamente a cada reinicialização.
Técnica de “Process Hollowing” e Ocultação
Além da ofuscação via AutoIt, essa variante utiliza a técnica de process hollowing. Nesse método, o malware é injetado em um processo legítimo do .NET, como o “regsvcs.exe”, fazendo com que ele se esconda dentro de um processo confiável e evite detecção pelos mecanismos de segurança tradicionais.
Captura de Credenciais e Dados Sensíveis
Utilizando a API SetWindowsHookEx com o parâmetro WH_KEYBOARD_LL, o Snake Keylogger consegue registrar todas as teclas digitadas no sistema. Isso permite que informações altamente sensíveis – como credenciais bancárias e dados pessoais – sejam capturadas sem que o usuário perceba a atividade maliciosa.
Além disso, o malware consulta sites como checkip.dyndns[.]org para obter o endereço IP e a localização geográfica da vítima, ampliando o escopo das informações roubadas.
Uma Parte de Uma Onda de Ciberameaças
Essa nova variante se insere em uma crescente onda de malware que inclui outras ameaças, como o Lumma Stealer, e é distribuída por campanhas de phishing e outros vetores de ataque, visando setores estratégicos como finanças, saúde, tecnologia e mídia.
A evolução do Snake Keylogger com o uso do AutoIt e técnicas avançadas de ocultação reforça a importância de manter sistemas atualizados e utilizar soluções de segurança robustas. Usuários devem estar atentos a e-mails suspeitos e evitar abrir anexos ou clicar em links desconhecidos para minimizar os riscos de infecção.
➡️ Você já teve alguma experiência com ameaças desse tipo? Deixe seu comentário e compartilhe dicas de segurança para ajudar outros usuários a se protegerem!
