سارق معلومات الثعبان
تستخدم الجهات الفاعلة في مجال التهديد رسائل فيسبوك لنشر أداة سرقة معلومات تعتمد على لغة بايثون تُعرف باسم Snake. تم تصميم هذه الأداة الضارة لالتقاط البيانات الحساسة، بما في ذلك بيانات الاعتماد. يتم بعد ذلك نقل بيانات الاعتماد المسروقة إلى منصات مختلفة، مثل Discord وGitHub وTelegram.
ظهرت التفاصيل المتعلقة بهذه الحملة في البداية على منصة التواصل الاجتماعي X في أغسطس 2023. وتتضمن طريقة العمل إرسال ملفات أرشيف RAR أو ZIP التي قد تكون غير ضارة إلى الضحايا المطمئنين. عند فتح هذه الملفات، يتم تشغيل تسلسل الإصابة. تشتمل العملية على مرحلتين وسيطتين تستخدمان أدوات التنزيل - برنامج نصي دفعي وبرنامج نصي cmd. هذا الأخير مسؤول عن جلب وتنفيذ سارق المعلومات من مستودع GitLab الذي يتحكم فيه ممثل التهديد.
عدة إصدارات من برنامج Snake Infostealer الذي اكتشفه الباحثون
حدد خبراء الأمن ثلاثة إصدارات مختلفة من برنامج سرقة المعلومات، مع تجميع الإصدار الثالث كملف قابل للتنفيذ من خلال PyInstaller. والجدير بالذكر أن البرامج الضارة مصممة لاستخراج البيانات من متصفحات الويب المختلفة، بما في ذلك Cốc Cốc، مما يعني التركيز على الأهداف الفيتنامية.
يتم بعد ذلك نقل البيانات المجمعة، التي تشمل بيانات الاعتماد وملفات تعريف الارتباط، في شكل أرشيف ZIP باستخدام Telegram Bot API. بالإضافة إلى ذلك، تم تكوين أداة السرقة لاستخراج معلومات ملفات تعريف الارتباط المرتبطة بـ Facebook على وجه التحديد، مما يشير إلى نية اختراق حسابات المستخدمين والتلاعب بها لأغراض ضارة.
يتم إثبات الارتباط الفيتنامي أيضًا من خلال اصطلاحات التسمية الخاصة بمستودعات GitHub وGitLab، إلى جانب الإشارات الواضحة إلى اللغة الفيتنامية في الكود المصدري. تجدر الإشارة إلى أن جميع أنواع أداة السرقة متوافقة مع متصفح Cốc Cốc، وهو متصفح ويب يستخدم على نطاق واسع داخل المجتمع الفيتنامي.
تواصل الجهات التهديدية استغلال الخدمات المشروعة لتحقيق أغراضها
في العام الماضي، ظهرت سلسلة من برامج سرقة المعلومات التي تستهدف ملفات تعريف الارتباط الخاصة بفيسبوك، بما في ذلك S1deload S tealer و MrTonyScam و NodeStealer و VietCredCare .
ويتزامن هذا الاتجاه مع زيادة التدقيق على شركة ميتا في الولايات المتحدة، حيث واجهت الشركة انتقادات بسبب فشلها الملحوظ في مساعدة ضحايا الحسابات المخترقة. تم توجيه دعوات إلى Meta لمعالجة الحوادث المتزايدة والمستمرة لعمليات الاستيلاء على الحسابات على الفور.
بالإضافة إلى هذه المخاوف، تم اكتشاف أن الجهات الفاعلة في مجال التهديد تستخدم أساليب مختلفة، مثل موقع ويب لغش الألعاب المستنسخة، وتسميم تحسين محركات البحث (SEO)، وخطأ GitHub، لخداع قراصنة الألعاب المحتملين لتنفيذ برامج Lua الضارة. والجدير بالذكر أن مشغلي البرامج الضارة يستغلون ثغرة أمنية في GitHub تسمح باستمرار الملف الذي تم تحميله والمرتبط بمشكلة في المستودع، حتى لو لم يتم حفظ المشكلة.
هذا يعني أنه يمكن للأفراد تحميل ملف إلى أي مستودع GitHub دون ترك أي أثر، باستثناء الرابط المباشر. وقد تم تجهيز البرمجيات الخبيثة بقدرات اتصال القيادة والتحكم (C2)، مما يضيف طبقة أخرى من التطور إلى هذه الأنشطة التهديدية.
