مار Infostealer
بازیگران تهدید از پیامهای فیسبوک برای انتشار یک دزد اطلاعات مبتنی بر پایتون به نام Snake استفاده میکنند. این ابزار مخرب برای گرفتن داده های حساس از جمله اعتبارنامه ها ساخته شده است. اعتبار سرقت شده متعاقباً به پلتفرم های مختلفی مانند Discord، GitHub و Telegram منتقل می شود.
جزئیات مربوط به این کمپین ابتدا در پلتفرم رسانه اجتماعی X در آگوست 2023 منتشر شد. روش عملیاتی شامل ارسال فایل های بالقوه بی ضرر RAR یا آرشیو ZIP برای قربانیان غیرقانونی است. با باز کردن این فایل ها، توالی عفونت فعال می شود. این فرآیند شامل دو مرحله میانی است که از دانلود کننده ها استفاده می کند - یک اسکریپت دسته ای و یک اسکریپت cmd. دومی مسئول واکشی و اجرای دزد اطلاعات از یک مخزن GitLab است که توسط عامل تهدید کنترل می شود.
چندین نسخه از Snake Infostealer که توسط محققان کشف شد
کارشناسان امنیتی سه نسخه متمایز از دزد اطلاعات را شناسایی کردهاند که نسخه سوم به عنوان یک فایل اجرایی از طریق PyInstaller کامپایل شده است. قابل ذکر است، این بدافزار برای استخراج داده ها از مرورگرهای وب مختلف، از جمله Cốc Cốc، طراحی شده است که به معنای تمرکز بر اهداف ویتنامی است.
دادههای جمعآوریشده، شامل اعتبار و کوکیها، متعاقباً در قالب یک آرشیو ZIP با استفاده از API ربات تلگرام منتقل میشوند. علاوه بر این، دزد به گونه ای پیکربندی شده است که به طور خاص اطلاعات کوکی مرتبط با فیس بوک را استخراج کند، که نشان دهنده قصد به خطر انداختن و دستکاری حساب های کاربری برای اهداف مخرب است.
ارتباط ویتنامی با قراردادهای نامگذاری مخازن GitHub و GitLab، همراه با ارجاعات صریح به زبان ویتنامی در کد منبع، بیشتر مشهود است. شایان ذکر است که همه انواع دزد با مرورگر Cốc Cốc، یک مرورگر وب پر استفاده در جامعه ویتنامی سازگار هستند.
بازیگران تهدید به بهره برداری از خدمات مشروع برای اهداف خود ادامه می دهند
در سال گذشته، مجموعهای از دزدان اطلاعاتی که کوکیهای فیسبوک را هدف قرار میدهند، ظاهر شدند، از جمله S1deload S t ealer، MrTonyScam، NodeStealer و VietCredCare .
این روند همزمان با افزایش بررسی متا در ایالات متحده است، جایی که این شرکت به دلیل شکست درک شده خود در کمک به قربانیان حساب های هک شده با انتقاد مواجه شده است. از متا خواسته شده است که به سرعت به حوادث فزاینده و مداوم تصاحب حساب ها رسیدگی کند.
علاوه بر این نگرانیها، مشخص شده است که عوامل تهدید از تاکتیکهای مختلفی مانند وبسایت تقلب بازی شبیهسازیشده، مسمومیت SEO و یک باگ GitHub برای فریب هکرهای احتمالی بازی برای اجرای بدافزار Lua استفاده میکنند. قابل ذکر است، اپراتورهای بدافزار از یک آسیبپذیری GitHub سوء استفاده میکنند که به فایل آپلود شده مرتبط با یک مشکل در یک مخزن اجازه میدهد حتی اگر مشکل ذخیره نشده باشد، باقی بماند.
این بدان معناست که افراد می توانند یک فایل را در هر مخزن GitHub بدون گذاشتن ردی، به جز پیوند مستقیم، آپلود کنند. این بدافزار به قابلیتهای ارتباطی Command-and-Control (C2) مجهز است و لایه دیگری از پیچیدگی را به این فعالیتهای تهدیدآمیز اضافه میکند.