Snake Infostealer

Ohutegijad kasutavad Facebooki sõnumeid, et levitada Pythoni-põhist teabevarast, mida nimetatakse Snake'iks. See pahatahtlik tööriist on loodud tundlike andmete, sealhulgas mandaatide hõivamiseks. Varastatud mandaadid edastatakse seejärel erinevatele platvormidele, nagu Discord, GitHub ja Telegram.

Selle kampaania üksikasjad ilmusid algselt sotsiaalmeediaplatvormil X 2023. aasta augustis. Mous operandi hõlmab potentsiaalselt kahjutute RAR- või ZIP-arhiivifailide saatmist pahaaimamatutele ohvritele. Nende failide avamisel käivitub nakatumisjada. Protsess koosneb kahest vaheetapist, milles kasutatakse allalaadijaid – pakettskripti ja cmd-skripti. Viimane vastutab teabevarguse toomise ja käivitamise eest GitLabi hoidlast, mida kontrollib ohus osaleja.

Teadlaste poolt välja kaevatud Snake Infostealeri mitu versiooni

Turvaeksperdid on tuvastanud kolm erinevat teabevarga versiooni, millest kolmas variant on PyInstalleri kaudu koostatud käivitatava failina. Eelkõige on pahavara kohandatud andmete hankimiseks erinevatest veebibrauseritest, sealhulgas Cốc Cốc, mis viitab keskendumisele Vietnami sihtmärkidele.

Kogutud andmed, mis hõlmavad nii mandaate kui ka küpsiseid, edastatakse seejärel ZIP-arhiivina, kasutades Telegram Bot API-t. Lisaks on varastaja konfigureeritud välja võtma spetsiaalselt Facebookiga lingitud küpsiste teavet, mis viitab kavatsusele kahjustada kasutajakontosid ja neid pahatahtlikul eesmärgil manipuleerida.

Vietnami seost tõendavad veelgi GitHubi ja GitLabi hoidlate nimetamisreeglid ning selgesõnalised viited vietnami keelele lähtekoodis. Väärib märkimist, et kõik stealeri variandid ühilduvad Vietnami kogukonnas laialdaselt kasutatava veebibrauseriga Cốc Cốc Browser.

Ohutegijad jätkavad seaduslike teenuste kasutamist oma eesmärkidel

Viimase aasta jooksul on ilmunud rida Facebooki küpsiseid sihivad teabevarastajaid, sealhulgas S1deload S t ealer, MrTonyScam, NodeStealer ja VietCredCare .

See suundumus langeb kokku Meta suurenenud kontrolliga USA-s, kus ettevõtet on kritiseeritud selle tõttu, et see ei suuda aidata häkitud kontode ohvreid. Metale on tehtud üleskutseid, et nad tegeleks kiiresti kasvavate ja püsivate kontode ülevõtmise juhtumitega.

Lisaks nendele muredele on avastatud, et ohus osalejad kasutavad erinevaid taktikaid, nagu kloonitud mängude petmise veebisait, SEO mürgistus ja GitHubi viga, et petta potentsiaalseid mänguhäkkereid Lua pahavara käivitama. Eelkõige kasutavad pahavara operaatorid ära GitHubi haavatavust, mis võimaldab hoidlas oleva probleemiga seotud üleslaaditud failil püsida isegi siis, kui probleemi ei salvestata.

See tähendab, et üksikisikud saavad üles laadida faili mis tahes GitHubi hoidlasse jälgi jätmata, välja arvatud otselink. Pahavara on varustatud Command-and-Control (C2) suhtlusvõimalustega, mis lisab nendele ähvardavatele tegevustele veel ühe keerukuse kihi.