Snake Infostealer

Aktéři hrozeb využívají zprávy na Facebooku k šíření zloděje informací založených na Pythonu známého jako Snake. Tento škodlivý nástroj je vytvořen k zachycení citlivých dat, včetně přihlašovacích údajů. Ukradené přihlašovací údaje jsou následně přenášeny na různé platformy, jako je Discord, GitHub a Telegram.

Podrobnosti o této kampani se původně objevily na platformě sociálních médií X v srpnu 2023. Modus operandi zahrnuje zasílání potenciálně neškodných archivních souborů RAR nebo ZIP nic netušícím obětem. Po otevření těchto souborů se spustí sekvence infekce. Proces se skládá ze dvou prostředních fází využívajících downloadery – dávkový skript a cmd skript. Ten je zodpovědný za načtení a spuštění krádeže informací z úložiště GitLab kontrolovaného aktérem hrozby.

Výzkumníci odhalili několik verzí hadího Infozrádce

Bezpečnostní experti identifikovali tři odlišné verze informačního zloděje, přičemž třetí varianta byla zkompilována jako spustitelný přes PyInstaller. Malware je uzpůsoben k extrahování dat z různých webových prohlížečů, včetně Cốc Cốc, což znamená zaměření na vietnamské cíle.

Shromážděná data, zahrnující jak přihlašovací údaje, tak soubory cookie, jsou následně přenášena ve formě ZIP archivu pomocí Telegram Bot API. Kromě toho je zloděj nakonfigurován tak, aby specificky extrahoval informace o souborech cookie spojené s Facebookem, což naznačuje záměr kompromitovat a manipulovat uživatelské účty pro škodlivé účely.

Vietnamské spojení dále dokládají konvence pojmenování repozitářů GitHub a GitLab spolu s výslovnými odkazy na vietnamský jazyk ve zdrojovém kódu. Stojí za zmínku, že všechny varianty zloděje jsou kompatibilní s prohlížečem Cốc Cốc Browser, široce používaným webovým prohlížečem ve vietnamské komunitě.

Aktéři hrozeb nadále využívají legitimní služby pro své účely

V minulém roce se objevila řada zlodějů informací zaměřených na soubory cookie Facebooku, včetně S1deload S t ealer, MrTonyScam, NodeStealer a VietCredCare .

Tento trend se shoduje se zvýšenou kontrolou společnosti Meta v USA, kde společnost čelila kritice za své domnělé selhání pomoci obětem hacknutých účtů. Meta byla vyzvána, aby rychle řešila rostoucí a přetrvávající případy přebírání účtů.

Kromě těchto obav bylo zjištěno, že aktéři hrozeb používají různé taktiky, jako je klonovaná herní webová stránka, otrava SEO a chyba GitHub, aby oklamali potenciální herní hackery, aby spustili malware Lua. Zejména provozovatelé malwaru využívají zranitelnost GitHubu, která umožňuje, aby nahraný soubor spojený s problémem v úložišti přetrvával, i když se problém neuloží.

To znamená, že jednotlivci mohou nahrát soubor do libovolného úložiště GitHub bez zanechání stopy, s výjimkou přímého odkazu. Malware je vybaven komunikačními schopnostmi Command-and-Control (C2), které k těmto ohrožujícím činnostem přidává další úroveň sofistikovanosti.