مار Infostealer

بازیگران تهدید از پیام‌های فیس‌بوک برای انتشار یک دزد اطلاعات مبتنی بر پایتون به نام Snake استفاده می‌کنند. این ابزار مخرب برای گرفتن داده های حساس از جمله اعتبارنامه ها ساخته شده است. اعتبار سرقت شده متعاقباً به پلتفرم های مختلفی مانند Discord، GitHub و Telegram منتقل می شود.

جزئیات مربوط به این کمپین ابتدا در پلتفرم رسانه اجتماعی X در آگوست 2023 منتشر شد. روش عملیاتی شامل ارسال فایل های بالقوه بی ضرر RAR یا آرشیو ZIP برای قربانیان غیرقانونی است. با باز کردن این فایل ها، توالی عفونت فعال می شود. این فرآیند شامل دو مرحله میانی است که از دانلود کننده ها استفاده می کند - یک اسکریپت دسته ای و یک اسکریپت cmd. دومی مسئول واکشی و اجرای دزد اطلاعات از یک مخزن GitLab است که توسط عامل تهدید کنترل می شود.

چندین نسخه از Snake Infostealer که توسط محققان کشف شد

کارشناسان امنیتی سه نسخه متمایز از دزد اطلاعات را شناسایی کرده‌اند که نسخه سوم به عنوان یک فایل اجرایی از طریق PyInstaller کامپایل شده است. قابل ذکر است، این بدافزار برای استخراج داده ها از مرورگرهای وب مختلف، از جمله Cốc Cốc، طراحی شده است که به معنای تمرکز بر اهداف ویتنامی است.

داده‌های جمع‌آوری‌شده، شامل اعتبار و کوکی‌ها، متعاقباً در قالب یک آرشیو ZIP با استفاده از API ربات تلگرام منتقل می‌شوند. علاوه بر این، دزد به گونه ای پیکربندی شده است که به طور خاص اطلاعات کوکی مرتبط با فیس بوک را استخراج کند، که نشان دهنده قصد به خطر انداختن و دستکاری حساب های کاربری برای اهداف مخرب است.

ارتباط ویتنامی با قراردادهای نامگذاری مخازن GitHub و GitLab، همراه با ارجاعات صریح به زبان ویتنامی در کد منبع، بیشتر مشهود است. شایان ذکر است که همه انواع دزد با مرورگر Cốc Cốc، یک مرورگر وب پر استفاده در جامعه ویتنامی سازگار هستند.

بازیگران تهدید به بهره برداری از خدمات مشروع برای اهداف خود ادامه می دهند

در سال گذشته، مجموعه‌ای از دزدان اطلاعاتی که کوکی‌های فیس‌بوک را هدف قرار می‌دهند، ظاهر شدند، از جمله S1deload S t ealer، MrTonyScam، NodeStealer و VietCredCare .

این روند همزمان با افزایش بررسی متا در ایالات متحده است، جایی که این شرکت به دلیل شکست درک شده خود در کمک به قربانیان حساب های هک شده با انتقاد مواجه شده است. از متا خواسته شده است که به سرعت به حوادث فزاینده و مداوم تصاحب حساب ها رسیدگی کند.

علاوه بر این نگرانی‌ها، مشخص شده است که عوامل تهدید از تاکتیک‌های مختلفی مانند وب‌سایت تقلب بازی شبیه‌سازی‌شده، مسمومیت SEO و یک باگ GitHub برای فریب هکرهای احتمالی بازی برای اجرای بدافزار Lua استفاده می‌کنند. قابل ذکر است، اپراتورهای بدافزار از یک آسیب‌پذیری GitHub سوء استفاده می‌کنند که به فایل آپلود شده مرتبط با یک مشکل در یک مخزن اجازه می‌دهد حتی اگر مشکل ذخیره نشده باشد، باقی بماند.

این بدان معناست که افراد می توانند یک فایل را در هر مخزن GitHub بدون گذاشتن ردی، به جز پیوند مستقیم، آپلود کنند. این بدافزار به قابلیت‌های ارتباطی Command-and-Control (C2) مجهز است و لایه دیگری از پیچیدگی را به این فعالیت‌های تهدیدآمیز اضافه می‌کند.