Wprowadzenie do problemu / definicja
SnappyClient to nowo opisany implant command-and-control (C2), którego zadaniem jest utrzymanie trwałego dostępu do zainfekowanego systemu, kradzież danych oraz monitorowanie aktywności użytkownika. W odróżnieniu od głośnych kampanii ransomware tego typu malware działa dyskretnie, koncentrując się na długotrwałej obecności w środowisku i systematycznej eksfiltracji informacji.
Szczególnie niepokojące jest ukierunkowanie SnappyClient na ekosystem kryptowalut. Zagrożenie nie ogranicza się do ogólnej kradzieży haseł, ale obejmuje także obserwację portfeli, rozszerzeń przeglądarek i aplikacji związanych z giełdami oraz aktywami cyfrowymi.
W skrócie
- SnappyClient to implant C2 napisany w C++ i opisany pod koniec 2025 roku.
- Malware był dostarczany m.in. przez HijackLoader oraz przy użyciu technik socjotechnicznych.
- Oferuje keylogging, zrzuty ekranu, zdalny terminal i kradzież danych z przeglądarek.
- Szczególnym celem są portfele kryptowalutowe, rozszerzenia walletów i sesje użytkowników.
- Do utrudniania detekcji wykorzystywane są m.in. obejście AMSI, techniki wstrzykiwania kodu i szyfrowana komunikacja C2.
Kontekst / historia
Badacze bezpieczeństwa zaobserwowali SnappyClient w grudniu 2025 roku jako nowy framework C2 używany po początkowej kompromitacji systemu. W analizowanych kampaniach istotną rolę odgrywał HijackLoader, znany loader wykorzystywany do dostarczania kolejnych etapów infekcji.
W części przypadków użytkownicy trafiali na spreparowane strony podszywające się pod legalne podmioty, gdzie następowało automatyczne pobranie pliku wykonywalnego. Inne scenariusze powiązano z socjotechniką typu ClickFix, co sugeruje, iż operatorzy testują wiele kanałów dystrybucji i elastycznie dostosowują sposób infekcji do celu.
Analiza techniczna
SnappyClient został zbudowany w C++ i pełni funkcję implantu post-exploitation. Po uruchomieniu może wykonywać zrzuty ekranu, rejestrować naciśnięcia klawiszy, uruchamiać zdalny terminal oraz wykradać dane z przeglądarek, rozszerzeń i aplikacji. Daje to operatorom szeroki zestaw możliwości nadzoru nad stacją roboczą oraz przejmowania wrażliwych informacji.
Jednym z kluczowych elementów działania malware jest unikanie wykrycia. Analiza wskazuje na obejście AMSI przez hookowanie funkcji odpowiedzialnych za skanowanie zawartości w pamięci i wymuszanie wyniku sugerującego brak zagrożenia. Dodatkowo wykorzystywane są techniki takie jak Heaven’s Gate, bezpośrednie wywołania systemowe oraz transacted hollowing, co utrudnia analizę behawioralną i obniża skuteczność części narzędzi ochronnych.
Mechanizmy trwałości obejmują zadania harmonogramu Windows oraz klucze autostartu w rejestrze. Dzięki temu implant może odtwarzać swoją aktywność po restarcie komputera lub ponownym zalogowaniu użytkownika.
Na poziomie komunikacji z infrastrukturą sterującą SnappyClient używa własnego protokołu przez TCP. Dane są kompresowane, formatowane jako obiekty JSON i szyfrowane algorytmem ChaCha20-Poly1305. Taki model utrudnia prostą inspekcję ruchu sieciowego i ogranicza skuteczność detekcji opartej wyłącznie na sygnaturach.
Największą uwagę zwraca jednak profil kradzieży danych. Malware potrafi pozyskiwać zapisane hasła i cookies z popularnych przeglądarek, takich jak Chrome, Edge, Firefox, Opera i Brave. Atakuje także rozszerzenia i narzędzia powiązane z kryptowalutami, w tym MetaMask, Phantom, TrustWallet, Coinbase czy TronLink. Dodatkowo monitoruje wzorce związane z adresami portfeli w schowku oraz tytuły okien aplikacji giełdowych i walletów, co wskazuje na precyzyjne ukierunkowanie na zasoby cyfrowe użytkownika.
Konsekwencje / ryzyko
Dla użytkowników indywidualnych najpoważniejsze ryzyko obejmuje utratę środków kryptowalutowych, przejęcie kont giełdowych oraz kompromitację przeglądarek zawierających zapisane loginy, hasła i tokeny sesyjne. Kradzież cookies może pozwolić napastnikom na przejęcie aktywnej sesji choćby bez znajomości hasła.
W organizacjach zagrożenie jest szersze, ponieważ implant C2 z funkcją zdalnego terminala może stać się punktem wyjścia do ruchu bocznego, dalszego rekonesansu i wdrażania kolejnych narzędzi. Keylogging oraz zrzuty ekranu zwiększają ryzyko wycieku danych wrażliwych, poświadczeń administracyjnych i informacji biznesowych.
Dodatkowym problemem jest elastyczność kampanii. Możliwość aktualizacji konfiguracji i wskazywania nowych aplikacji do monitorowania oznacza, iż operatorzy mogą gwałtownie dostosowywać implant do zmieniających się celów i nowych scenariuszy ataku.
Rekomendacje
Organizacje powinny traktować SnappyClient jako zagrożenie klasy post-compromise i wdrożyć zarówno mechanizmy prewencyjne, jak i detekcyjne. najważniejsze jest ograniczenie skuteczności loaderów oraz socjotechniki przez blokowanie nieautoryzowanych plików wykonywalnych pobieranych z Internetu, kontrolę uruchamiania aplikacji oraz szkolenia użytkowników z rozpoznawania fałszywych stron i technik ClickFix.
- Monitorować tworzenie i modyfikację zadań harmonogramu oraz kluczy autostartu w rejestrze.
- Analizować nietypowe uruchomienia procesów potomnych i oznaki wstrzykiwania kodu.
- Rozszerzyć telemetrykę EDR o próby obejścia AMSI i niestandardowe wywołania API.
- Kontrolować dostęp do schowka, magazynów danych przeglądarek oraz zapisanych haseł.
- Wykrywać anomalie w ruchu TCP do nieznanych hostów i długotrwałe sesje o zaszyfrowanej treści.
Użytkownicy operujący kryptowalutami powinni rozdzielać aktywności wysokiego ryzyka od codziennej pracy. Pomocne może być korzystanie z dedykowanych profili przeglądarki, ograniczenie liczby rozszerzeń walletów, stosowanie kluczy sprzętowych oraz portfeli sprzętowych. Warto także wyłączyć zapisywanie haseł w przeglądarce tam, gdzie to możliwe.
W przypadku podejrzenia infekcji należy niezwłocznie odizolować host, zabezpieczyć artefakty pamięci i dysku, przeanalizować zadania harmonogramu, klucze Run, podejrzane pliki w profilach użytkowników oraz ruch sieciowy. Równolegle trzeba zresetować poświadczenia, unieważnić tokeny sesyjne i zabezpieczyć konta kryptowalutowe.
Podsumowanie
SnappyClient pokazuje, iż współczesne kampanie cyberprzestępcze coraz częściej łączą klasyczne funkcje zdalnej kontroli z precyzyjnym ukierunkowaniem na aktywa kryptowalutowe. Nie jest to prosty stealer, ale rozbudowany implant C2 zdolny do utrzymania się w środowisku, omijania mechanizmów bezpieczeństwa i długotrwałej eksfiltracji danych.
Dla zespołów bezpieczeństwa oznacza to konieczność szerszego spojrzenia na ochronę przeglądarek, rozszerzeń i aplikacji walletów. Rosnące znaczenie takich narzędzi sprawia, iż detekcja dyskretnej aktywności po początkowej kompromitacji staje się równie ważna jak blokowanie samego wektora wejścia.
Źródła
- Dark Reading, https://www.darkreading.com/cyberattacks-data-breaches/new-c2-implant-snappyclient-targets-crypto-wallets
- Technical Analysis of SnappyClient, https://www.zscaler.com/blogs/security-research/technical-analysis-snappyclient
- HijackLoader Updates, https://www.zscaler.com/blogs/security-research/hijackloader-updates