 |
|
| 別名 | 404 Keylogger、Snake Stealer |
|---|---|
| 活動開始時期 | 2020年ごろ |
| プラットフォーム | Windows |
| カテゴリ | キーロガー |
概要
Snake Keyloggerは、主にMicrosoft Windowsを標的とする情報窃取型マルウェアです。
キーボード入力の記録(キーロギング)に加え、Webブラウザーやメールクライアントなどから認証情報を窃取する機能を持ちます。2020年前後から継続的に観測されており、フィッシングメールを利用した感染活動で広く拡散しました。
Snake Keyloggerは名前の通りキーロガーに分類されるマルウェアですが、さまざまな認証情報を窃取する情報窃取型マルウェアとしての機能も備えています。2020年代以降に登場したマルウェアは複数のカテゴリにまたがる機能を持つものが多く、Snake Keyloggerはその中でも代表的なマルウェアのうちの1つです。
また、Snake KeyloggerはMaaS(Malware-as-a-Service)として流通している点も特徴です。Snake Keylogger系のMaaSは月額ライセンス形式で提供され、アンダーグラウンドフォーラムやダークネットなどで販売されています。Builderや設定ツールなども含めて提供されることから、技術力の低い攻撃者でも比較的容易に利用できるとされています。さらに、多数の亜種が存在することから、開発者によって継続的なアップデートが行われている様子もうかがえます。
このような特徴から、Snake Keyloggerは大規模なマルスパムキャンペーンで悪用される事例が多数確認されています。請求書や配送通知、業務連絡などを装ったフィッシングメールに悪意のある添付ファイルやURLを含め、感染を狙う手法が広く利用されています。
以下はSnake Keyloggerの悪用が確認されたキャンペーンの一例です。
① CERT-UAによって報告されたメールキャンペーン(2022年7月)
② 悪意のあるExcelファイルが添付されたフィッシングキャンペーン(2024年8月)
③ AutoItスクリプトを悪用するSnake Keylogger亜種の配布キャンペーン(2025年2月)
Snake Keyloggerのタイムライン
機能
Snake Keyloggerの主な機能を紹介します。
キーロギング
キーボード入力を監視・記録し、ユーザーが入力したIDやパスワードなどの認証情報を窃取します。Webサービスや業務システムへのログイン情報が主な標的となります。
認証情報窃取
Webブラウザー、メールクライアント、FTPクライアントなどから保存済みの認証情報を窃取します。Chrome、Edge、Firefox、Outlook、FileZillaなど幅広いソフトウェアが対象となることが知られています。
クリップボード監視
クリップボードの内容を監視し、コピー&ペーストされた情報を窃取します。暗号資産ウォレットアドレスやパスワードなどの機密情報が狙われる場合があります。
検知回避
難読化やAutoItなど正規ツールの悪用により、セキュリティ製品による検知を回避します。また、多段階感染やプロセスインジェクションを利用する亜種も確認されています。
情報送信
窃取した認証情報やログデータを外部へ送信します。SMTP、FTP、Telegram、HTTP POSTなど複数の通信手段に対応しており、攻撃者が柔軟に情報を回収できる構成となっています。