Snake Infostealer

Els actors de l'amenaça estan utilitzant missatges de Facebook per difondre un robatori d'informació basat en Python conegut com Snake. Aquesta eina maliciosa està dissenyada per capturar dades sensibles, incloses les credencials. Les credencials robades es transmeten posteriorment a diverses plataformes, com ara Discord, GitHub i Telegram.

Els detalls sobre aquesta campanya van aparèixer inicialment a la plataforma de xarxes socials X l'agost de 2023. El modus operandi consisteix a enviar fitxers d'arxiu RAR o ZIP potencialment inofensius a víctimes desprevinguts. En obrir aquests fitxers, s'activa la seqüència d'infecció. El procés consta de dues etapes intermèdies que utilitzen descarregadors: un script per lots i un script cmd. Aquest últim és l'encarregat d'obtenir i executar el robatori d'informació des d'un dipòsit de GitLab controlat per l'actor de l'amenaça.

Diverses versions del robatori d'informació de la serp descobertes pels investigadors

Els experts en seguretat han identificat tres versions diferents del robatori d'informació, amb la tercera variant compilada com a executable mitjançant PyInstaller. En particular, el programari maliciós està dissenyat per extreure dades de diversos navegadors web, inclòs Cốc Cốc, la qual cosa implica un enfocament en objectius vietnamites.

Les dades recopilades, que inclouen tant les credencials com les galetes, es transmeten posteriorment en forma d'arxiu ZIP mitjançant l'API de Telegram Bot. A més, el robatori està configurat per extreure específicament informació de galetes vinculada a Facebook, cosa que suggereix una intenció de comprometre i manipular els comptes d'usuari amb finalitats malicioses.

La connexió vietnamita s'evidencia encara més amb les convencions de denominació dels repositoris GitHub i GitLab, juntament amb referències explícites a l'idioma vietnamita al codi font. Val la pena assenyalar que totes les variants del stealer són compatibles amb el Cốc Cốc Browser, un navegador web molt utilitzat a la comunitat vietnamita.

Els actors d'amenaça continuen explotant serveis legítims per als seus propòsits

L'any passat, han aparegut una sèrie de robatoris d'informació dirigits a les galetes de Facebook, com ara S1deload S t ealer, MrTonyScam, NodeStealer i VietCredCare .

Aquesta tendència coincideix amb un escrutini més gran de Meta als EUA, on l'empresa s'ha enfrontat a crítiques per la seva percepció de fracàs per ajudar les víctimes de comptes piratejats. S'ha fet una crida a Meta per abordar ràpidament els incidents creixents i persistents de les adquisicions de comptes.

A més d'aquestes preocupacions, s'ha descobert que els actors de les amenaces utilitzen diverses tàctiques, com ara un lloc web de trampes de jocs clonats, una intoxicació per SEO i un error de GitHub, per enganyar els possibles pirates informàtics perquè executin programari maliciós Lua. En particular, els operadors de programari maliciós exploten una vulnerabilitat de GitHub que permet que un fitxer carregat associat a un problema en un dipòsit persisteixi, fins i tot si el problema no es desa.

Això implica que les persones poden carregar un fitxer a qualsevol repositori de GitHub sense deixar rastre, excepte l'enllaç directe. El programari maliciós està equipat amb capacitats de comunicació de comandament i control (C2), afegint una altra capa de sofisticació a aquestes activitats amenaçadores.