Snake Infostealer

Trusselaktører bruger Facebook-beskeder til at formidle en Python-baseret informationstyver kendt som Snake. Dette ondsindede værktøj er lavet til at fange følsomme data, inklusive legitimationsoplysninger. De stjålne legitimationsoplysninger overføres efterfølgende til forskellige platforme, såsom Discord, GitHub og Telegram.

Detaljer vedrørende denne kampagne dukkede oprindeligt op på den sociale medieplatform X i august 2023. Metoden involverer at sende potentielt harmløse RAR- eller ZIP-arkivfiler til intetanende ofre. Ved åbning af disse filer udløses infektionssekvensen. Processen omfatter to mellemliggende faser, der anvender downloadere – et batchscript og et cmd-script. Sidstnævnte er ansvarlig for at hente og udføre informationstyveren fra et GitLab-lager, der kontrolleres af trusselsaktøren.

Flere versioner af Snake Infostealer fundet af forskere

Sikkerhedseksperter har identificeret tre forskellige versioner af informationstyveren, med den tredje variant kompileret som en eksekverbar gennem PyInstaller. Navnlig er malwaren skræddersyet til at udtrække data fra forskellige webbrowsere, herunder Cốc Cốc, hvilket indebærer fokus på vietnamesiske mål.

De indsamlede data, der omfatter både legitimationsoplysninger og cookies, overføres efterfølgende i form af et ZIP-arkiv ved hjælp af Telegram Bot API. Derudover er tyveren konfigureret til specifikt at udtrække cookieoplysninger knyttet til Facebook, hvilket tyder på en hensigt om at kompromittere og manipulere brugerkonti til ondsindede formål.

Den vietnamesiske forbindelse er yderligere bevist af navnekonventionerne for GitHub- og GitLab-lagrene, sammen med eksplicitte referencer til det vietnamesiske sprog i kildekoden. Det er værd at bemærke, at alle varianter af tyveren er kompatible med Cốc Cốc Browser, en meget brugt webbrowser i det vietnamesiske samfund.

Trusselaktører fortsætter med at udnytte legitime tjenester til deres formål

I det seneste år er der dukket en række informationstyve rettet mod Facebook-cookies op, herunder S1deload S t ealer, MrTonyScam, NodeStealer og VietCredCare .

Denne tendens falder sammen med øget kontrol af Meta i USA, hvor virksomheden har været udsat for kritik for dets opfattede manglende hjælp til ofre for hackede konti. Der er blevet opfordret Meta til at tage fat på de stigende og vedvarende tilfælde af kontoovertagelser omgående.

Ud over disse bekymringer er det blevet opdaget, at trusselsaktører anvender forskellige taktikker, såsom et klonet spilsnydewebsted, SEO-forgiftning og en GitHub-fejl, for at bedrage potentielle spilhackere til at udføre Lua-malware. Især udnytter malware-operatørerne en GitHub-sårbarhed, der tillader en uploadet fil, der er forbundet med et problem på et lager, at fortsætte, selvom problemet ikke er gemt.

Dette indebærer, at enkeltpersoner kan uploade en fil til ethvert GitHub-lager uden at efterlade et spor, bortset fra det direkte link. Malwaren er udstyret med Command-and-Control (C2) kommunikationsfunktioner, hvilket tilføjer endnu et lag af sofistikering til disse truende aktiviteter.