Snake Keylogger(別名404 Keylogger)の新しい亜種が、2025年2月18日に確認された。この新型マルウェアは、FortiGuard Labsのマルウェアアナリスト Kevin Su氏によって報告された。
主な特徴と影響
- 主にアジアとヨーロッパのWindowsユーザーを標的
- 2025年1月から2月12日までの間に2億8000万件以上の感染試行をブロック
- 主な被害地域:中国、トルコ、インドネシア、台湾、スペイン
技術的特徴
- AutoItスクリプト言語を使用して自身を展開
- マルウェアファイル名:
ageless.exe - 設置場所:
%Local_AppData%\supergroupフォルダ - 起動スクリプト:
ageless.vbsをStartupフォルダに配置
収集する情報:
- キーストローク記録
- デスクトップのスクリーンショット
- クリップボードデータ
- Chrome、Edge、Firefoxブラウザの認証情報
- クレジットカード情報
- 被害者のパブリックIPアドレス
データ送信方法:
- SMTPメール
- Telegramボット
- HTTP POSTリクエスト
このマルウェアは2019年8月にロシアのハッキングフォーラムで最初にリリースされ、2020年11月に重大な脅威として確認された。2022年10月時点では、AgentTeslaに次いで2番目に多く確認されたマルウェアとなっている。
from:Snake Keylogger slithers into Windows, evades detection with AutoIt-compiled payload
【編集部解説】
Snake Keyloggerの新しい亜種について、当編集部で詳しく分析してみました。
まず注目すべきは、この亜種の感染規模です。FortiGuard Labsの報告によると、2025年1月から2月12日までの間に2億8000万件以上の感染試行がブロックされています。これは、マルウェア対策ソフトウェアで検知された数のみであり、実際の感染数はさらに多い可能性があります。
特筆すべき技術的特徴として、AutoItというスクリプト言語を使用している点が挙げられます。AutoItは本来、システム管理者がWindowsの作業を自動化するために使用する正当なツールです。しかし、この正当なツールを悪用することで、多くのセキュリティソフトウェアの検知を回避できてしまうのです。
さらに興味深いのは、このマルウェアが採用している高度な持続性メカニズムです。Windowsの起動フォルダを利用することで、管理者権限なしでシステム再起動後も活動を継続できる仕組みを実装しています。これは、一般ユーザーでも感染する可能性が高いことを示しています。
また、データ窃取の手法も進化しています。従来のキーロガーと異なり、この亜種はブラウザの自動入力システムからデータを直接抽出できます。これにより、キー入力を待つことなく保存された認証情報を窃取することが可能です。
特に企業にとって懸念されるのは、このマルウェアがTelegramボットを使用してデータを送信する点です。Telegramは多くの企業でビジネスコミュニケーションツールとして使用されており、そのトラフィックをブロックすることは難しい場合があります。
対策として重要なのは、メールの添付ファイルやリンクに対する警戒です。特に、AutoItでコンパイルされたファイルは、一見すると正常なWindowsの自動化スクリプトに見えるため、より慎重な確認が必要です。
長期的な視点では、このような正当なツールを悪用するマルウェアの増加が予想されます。これは、セキュリティ対策の在り方に大きな変革を迫る可能性があります。単純なシグネチャベースの検知から、より高度な行動分析ベースの防御へと移行する必要性が高まっているといえるでしょう。