Snake Infostealer

Οι ηθοποιοί απειλών χρησιμοποιούν μηνύματα στο Facebook για να διαδώσουν έναν κλέφτη πληροφοριών που βασίζεται σε Python, γνωστό ως Snake. Αυτό το κακόβουλο εργαλείο έχει δημιουργηθεί για να καταγράφει ευαίσθητα δεδομένα, συμπεριλαμβανομένων των διαπιστευτηρίων. Τα κλοπιμαία διαπιστευτήρια μεταδίδονται στη συνέχεια σε διάφορες πλατφόρμες, όπως το Discord, το GitHub και το Telegram.

Οι λεπτομέρειες σχετικά με αυτήν την καμπάνια εμφανίστηκαν αρχικά στην πλατφόρμα κοινωνικής δικτύωσης X τον Αύγουστο του 2023. Ο τρόπος λειτουργίας περιλαμβάνει την αποστολή δυνητικά αβλαβών αρχείων RAR ή ZIP σε ανυποψίαστα θύματα. Με το άνοιγμα αυτών των αρχείων, ενεργοποιείται η ακολουθία μόλυνσης. Η διαδικασία περιλαμβάνει δύο ενδιάμεσα στάδια που χρησιμοποιούν προγράμματα λήψης - ένα σενάριο δέσμης και ένα σενάριο cmd. Ο τελευταίος είναι υπεύθυνος για την ανάκτηση και την εκτέλεση του κλέφτη πληροφοριών από ένα αποθετήριο GitLab που ελέγχεται από τον παράγοντα απειλής.

Αρκετές εκδοχές του Infostealer του φιδιού που ανακαλύφθηκαν από ερευνητές

Οι ειδικοί ασφαλείας έχουν εντοπίσει τρεις διαφορετικές εκδόσεις του προγράμματος κλοπής πληροφοριών, με την τρίτη παραλλαγή να έχει μεταγλωττιστεί ως εκτελέσιμο μέσω του PyInstaller. Συγκεκριμένα, το κακόβουλο λογισμικό είναι προσαρμοσμένο για να εξάγει δεδομένα από διάφορα προγράμματα περιήγησης Ιστού, συμπεριλαμβανομένου του Cốc Cốc, υπονοώντας εστίαση σε βιετναμέζικους στόχους.

Τα συγκεντρωμένα δεδομένα, που περιλαμβάνουν τόσο διαπιστευτήρια όσο και cookies, μεταδίδονται στη συνέχεια με τη μορφή αρχείου ZIP χρησιμοποιώντας το Telegram Bot API. Επιπλέον, ο κλέφτης έχει διαμορφωθεί για να εξάγει συγκεκριμένα πληροφορίες cookie που συνδέονται με το Facebook, υποδηλώνοντας πρόθεση να παραβιάσει και να χειραγωγήσει λογαριασμούς χρηστών για κακόβουλους σκοπούς.

Η βιετναμέζικη σύνδεση αποδεικνύεται περαιτέρω από τις συμβάσεις ονομασίας των αποθετηρίων GitHub και GitLab, μαζί με σαφείς αναφορές στη βιετναμέζικη γλώσσα στον πηγαίο κώδικα. Αξίζει να σημειωθεί ότι όλες οι παραλλαγές του stealer είναι συμβατές με το Cốc Cốc Browser, ένα ευρέως χρησιμοποιούμενο πρόγραμμα περιήγησης στο Web στην κοινότητα του Βιετνάμ.

Οι ηθοποιοί απειλών συνεχίζουν να εκμεταλλεύονται νόμιμες υπηρεσίες για τους σκοπούς τους

Τον περασμένο χρόνο, εμφανίστηκαν μια σειρά από κλέφτες πληροφοριών που στοχεύουν τα cookies του Facebook, συμπεριλαμβανομένων των S1deload S t ealer, MrTonyScam, NodeStealer και VietCredCare .

Αυτή η τάση συμπίπτει με τον αυξημένο έλεγχο της Meta στις ΗΠΑ, όπου η εταιρεία έχει αντιμετωπίσει επικρίσεις για την αντιληπτή αποτυχία της να βοηθήσει τα θύματα των χακαρισμένων λογαριασμών. Έχουν γίνει εκκλήσεις προς τη Meta να αντιμετωπίσει εγκαίρως τα αυξανόμενα και επίμονα περιστατικά εξαγορών λογαριασμών.

Εκτός από αυτές τις ανησυχίες, ανακαλύφθηκε ότι οι φορείς απειλών χρησιμοποιούν διάφορες τακτικές, όπως έναν ιστότοπο εξαπάτησης κλωνοποιημένων παιχνιδιών, δηλητηρίαση SEO και ένα σφάλμα GitHub, για να εξαπατήσουν πιθανούς χάκερ παιχνιδιών να εκτελέσουν κακόβουλο λογισμικό Lua. Συγκεκριμένα, οι χειριστές κακόβουλου λογισμικού εκμεταλλεύονται μια ευπάθεια του GitHub που επιτρέπει σε ένα αρχείο που έχει μεταφορτωθεί που σχετίζεται με ένα ζήτημα σε ένα αποθετήριο να παραμείνει, ακόμα κι αν το ζήτημα δεν έχει αποθηκευτεί.

Αυτό σημαίνει ότι τα άτομα μπορούν να ανεβάσουν ένα αρχείο σε οποιοδήποτε αποθετήριο GitHub χωρίς να αφήσουν ίχνος, εκτός από τον άμεσο σύνδεσμο. Το κακόβουλο λογισμικό είναι εξοπλισμένο με δυνατότητες επικοινωνίας Command-and-Control (C2), προσθέτοντας άλλο ένα επίπεδο πολυπλοκότητας σε αυτές τις απειλητικές δραστηριότητες.