Uma nova versão do Snake Keylogger, um malware especializado em roubo de credenciais e monitoramento de atividades dos usuários, está sendo ativamente usada contra dispositivos Windows em países como China, Turquia, Indonésia, Taiwan e Espanha. Segundo a Fortinet FortiGuard Labs, essa variante já gerou mais de 280 milhões de tentativas bloqueadas de infecção desde o início do ano. O Snake Keylogger é normalmente distribuído através de e-mails de phishing contendo anexos maliciosos ou links fraudulentos.

Uma vez instalado, ele rouba informações sensíveis de navegadores populares, como Chrome, Edge e Firefox, capturando senhas digitadas, dados da área de transferência e credenciais bancárias. O malware também pode enviar essas informações diretamente para um servidor controlado pelos invasores via SMTP ou bots do Telegram, garantindo que os hackers acessem os dados sem levantar suspeitas. A grande novidade dessa variante é o uso da linguagem de script AutoIt, uma estratégia que permite ao malware burlar mecanismos tradicionais de detecção.

O arquivo executável do Snake Keylogger é um binário compilado em AutoIt, o que dificulta a análise estática e faz com que ele se disfarce como uma ferramenta legítima de automação do Windows. O ataque é finalizado com a injeção do código malicioso em um processo legítimo do Windows, como “regsvcs.exe”, por meio de uma técnica conhecida como process hollowing. Esse método permite que o malware se esconda dentro de um processo confiável do sistema, tornando sua detecção ainda mais difícil. Além disso, outras campanhas recentes têm utilizado arquivos JavaScript ofuscados para infiltrar stealer malware em sistemas Windows e exfiltrar dados confidenciais diretamente para bots no Telegram. A estratégia envolve o download de imagens JPG e arquivos de texto que escondem executáveis maliciosos usando esteganografia, permitindo que os hackers instalem os malwares sem chamar atenção.