Исследователи зафиксировали целевую фишинговую кампанию, нацеленную на оборонные и аэрокосмические компании Турции. Злоумышленники маскируют вредоносный файл под официальный документ от Turkish Aerospace Industries (TUSAŞ), заманивая сотрудников открыть кейлоггер Snake.
Файл выглядит как бизнес-документ с расширением .xlsx.exe, а после запуска сразу вносит себя в список исключений Windows Defender через PowerShell, обходя защиту. Одновременно он создает скрытую запланированную задачу через schtasks.exe, чтобы запускаться при каждом старте системы.
Snake распространяется в виде невинного приложения — например, калькулятора температуры. Внутри скрыт вредонос, загружаемый напрямую в память. Вторая стадия вредоносной нагрузки ("Remington") была распакована при помощи инструмента Chiron.
Основная цель — кража логинов, куки, автозаполнений, истории и карточных данных из Chrome, Firefox, Edge, Brave и других браузеров. Snake также атакует Outlook, Thunderbird и FoxMail, расшифровывая учетные записи через анализ реестра и локального хранилища.
Экспорт данных осуществляется через SMTP на фальшивый домен (htcp.homes), а учетные данные сервера зашифрованы DES и вшиты в бинарник.
Ответом на угрозу стала YARA-сигнатура для выявления защищенных .NET-файлов с признаками Snake. Координацию реагирования ведёт национальная команда USOM.
📌 Этот инцидент демонстрирует рост уровня продвинутости кейлоггеров и необходимость в многоуровневой защите и обучении сотрудников в чувствительных отраслях.
Эксперты выявили критические уязвимости Bluetooth в автомобилях Mercedes, Skoda и Volkswagen
