Змия Infostealer

Актьорите на заплахи използват съобщения във Facebook, за да разпространяват базиран на Python крадец на информация, известен като Snake. Този злонамерен инструмент е създаден да улавя чувствителни данни, включително идентификационни данни. Откраднатите идентификационни данни впоследствие се предават на различни платформи, като Discord, GitHub и Telegram.

Подробности относно тази кампания първоначално се появиха на платформата за социални медии X през август 2023 г. Начинът на действие включва изпращане на потенциално безвредни RAR или ZIP архивни файлове до нищо неподозиращите жертви. При отваряне на тези файлове се задейства последователността на заразяване. Процесът се състои от два междинни етапа, използващи програми за изтегляне – пакетен скрипт и cmd скрипт. Последният е отговорен за извличането и изпълнението на крадец на информация от хранилище на GitLab, контролирано от заплахата.

Няколко версии на змийския крадец на информация, открити от изследователи

Експертите по сигурността са идентифицирали три различни версии на програмата за крадец на информация, като третият вариант е компилиран като изпълним чрез PyInstaller. Трябва да се отбележи, че зловредният софтуер е пригоден да извлича данни от различни уеб браузъри, включително Cốc Cốc, което предполага фокусиране върху виетнамски цели.

Събраните данни, включващи както идентификационни данни, така и бисквитки, впоследствие се предават под формата на ZIP архив с помощта на API на Telegram Bot. Освен това крадецът е конфигуриран специално да извлича информация за бисквитки, свързана с Facebook, което предполага намерение за компрометиране и манипулиране на потребителски акаунти за злонамерени цели.

Виетнамската връзка се доказва допълнително от конвенциите за именуване на хранилищата на GitHub и GitLab, заедно с изричните препратки към виетнамския език в изходния код. Струва си да се отбележи, че всички варианти на крадецът са съвместими с браузъра Cốc Cốc, широко използван уеб браузър във виетнамската общност.

Актьорите на заплахи продължават да експлоатират легитимни услуги за своите цели

През изминалата година се появиха серия от крадци на информация, насочени към бисквитките на Facebook, включително S1deload S t ealer, MrTonyScam, NodeStealer и VietCredCare .

Тази тенденция съвпада със засиления контрол върху Meta в САЩ, където компанията е изправена пред критики за предполагаемия си неуспех да помогне на жертвите на хакнати акаунти. Бяха отправени призиви към Meta да се справи бързо с нарастващите и постоянни случаи на поглъщане на акаунти.

В допълнение към тези опасения беше открито, че участниците в заплахите използват различни тактики, като клониран уебсайт за измама на игри, отравяне на SEO и грешка в GitHub, за да заблудят потенциалните хакери на игри да изпълнят зловреден софтуер Lua. Трябва да се отбележи, че операторите на зловреден софтуер използват уязвимост на GitHub, която позволява на качен файл, свързан с проблем в хранилище, да продължи, дори ако проблемът не е запазен.

Това означава, че хората могат да качат файл във всяко хранилище на GitHub, без да оставят следа, с изключение на директната връзка. Злонамереният софтуер е оборудван с комуникационни възможности за командване и контрол (C2), добавяйки още едно ниво на усъвършенстване към тези заплашителни дейности.