Snake Infostealer

Uhkatoimijat käyttävät Facebook-viestejä levittääkseen Python-pohjaista tietovarastajaa, joka tunnetaan nimellä Snake. Tämä haitallinen työkalu on suunniteltu sieppaamaan arkaluontoisia tietoja, mukaan lukien tunnistetiedot. Varastetut valtuustiedot välitetään myöhemmin useille alustoille, kuten Discord, GitHub ja Telegram.

Tämän kampanjan yksityiskohdat ilmestyivät alun perin sosiaalisen median alustalle X elokuussa 2023. Toimintatapa sisältää mahdollisesti vaarattomien RAR- tai ZIP-arkistotiedostojen lähettämisen pahaa aavistamattomille uhreille. Kun nämä tiedostot avataan, tartuntasarja käynnistyy. Prosessi koostuu kahdesta välivaiheesta, joissa käytetään lataajia – eräkomentosarjan ja cmd-komentosarjan. Jälkimmäinen on vastuussa tietovarastajan hakemisesta ja suorittamisesta uhkatoimijan hallitsemasta GitLab-tietovarastosta.

Useita versioita Snake Infostealerista, jotka tutkijat ovat löytäneet

Tietoturvaasiantuntijat ovat tunnistaneet tietovarastosta kolme erillistä versiota, joista kolmas on käännetty suoritettavaksi PyInstallerin kautta. Haittaohjelma on erityisesti räätälöity poimimaan tietoja useista verkkoselaimista, mukaan lukien Cốc Cốc, mikä tarkoittaa keskittymistä vietnamilaisiin kohteisiin.

Kerätyt tiedot, jotka sisältävät sekä tunnistetiedot että evästeet, siirretään myöhemmin ZIP-arkiston muodossa Telegram Bot API:n avulla. Lisäksi varastaja on määritetty poimimaan erityisesti Facebookiin linkitettyjä evästetietoja, mikä viittaa aikomukseen vaarantaa ja manipuloida käyttäjätilejä haitallisiin tarkoituksiin.

Vietnamilaisen yhteyden todistavat edelleen GitHub- ja GitLab-tietovarastojen nimeämiskäytännöt sekä selkeät viittaukset vietnamin kieleen lähdekoodissa. On syytä huomata, että kaikki stealer-versiot ovat yhteensopivia Cốc Cốc Browserin kanssa, joka on vietnamilaisyhteisössä laajalti käytetty selain.

Uhkatoimijat jatkavat laillisten palvelujen hyödyntämistä tarkoituksiinsa

Kuluneen vuoden aikana on ilmestynyt joukko Facebook-evästeisiin kohdistettuja tietovarastoja, mukaan lukien S1deload S t ealer, MrTonyScam, NodeStealer ja VietCredCare .

Tämä suuntaus osuu samaan aikaan Metan lisääntyneen valvonnan kanssa Yhdysvalloissa, missä yritystä on kritisoitu sen havaitsemasta epäonnistumisesta auttamaan hakkeroitujen tilien uhreja. Metalle on pyydetty puuttumaan nopeasti lisääntyviin ja jatkuviin tilien haltuunottotapauksiin.

Näiden huolenaiheiden lisäksi on havaittu, että uhkatoimijat käyttävät erilaisia taktiikoita, kuten kloonattua pelihuijaussivustoa, SEO-myrkytyksiä ja GitHub-bugia, huijatakseen mahdollisia pelihakkereita toteuttamaan Lua-haittaohjelmia. Erityisesti haittaohjelmaoperaattorit käyttävät hyväkseen GitHubin haavoittuvuutta, joka sallii arkiston ongelmaan liittyvän ladatun tiedoston säilymisen, vaikka ongelmaa ei tallennettaisi.

Tämä tarkoittaa, että henkilöt voivat ladata tiedoston mihin tahansa GitHub-tietovarastoon jättämättä jälkeä, paitsi suoraa linkkiä. Haittaohjelma on varustettu Command-and-Control (C2) -viestintäominaisuuksilla, mikä lisää uuden tason hienostuneisuutta näihin uhkaaviin toimiin.