גנב מידע נחש

שחקני איומים משתמשים בהודעות פייסבוק כדי להפיץ גנב מידע מבוסס פייתון המכונה סנייק. כלי זדוני זה נועד ללכוד נתונים רגישים, כולל אישורים. האישורים שנגנבו מועברים לאחר מכן לפלטפורמות שונות, כגון Discord, GitHub ו-Telegram.

פרטים לגבי מסע פרסום זה עלו תחילה בפלטפורמת המדיה החברתית X באוגוסט 2023. אופן הפעולה כולל שליחת קובצי ארכיון RAR או ZIP שעלולים להיות בלתי מזיקים לקורבנות תמימים. עם פתיחת קבצים אלה, רצף ההדבקה מופעל. התהליך מורכב משני שלבי ביניים המעסיקים הורדות - סקריפט אצווה וסקריפט cmd. האחרון אחראי לאחזור וביצוע של גנב המידע ממאגר GitLab הנשלט על ידי שחקן האיומים.

מספר גרסאות של גנב המידע של הנחש שנחשפו על ידי חוקרים

מומחי אבטחה זיהו שלוש גרסאות נפרדות של גנב המידע, כאשר הגרסה השלישית הידורית כקובץ הפעלה באמצעות PyInstaller. יש לציין כי התוכנה הזדונית מותאמת לחילוץ נתונים מדפדפני אינטרנט שונים, כולל Cốc Cốc, מה שמרמז על התמקדות במטרות וייטנאמיות.

הנתונים שנאספו, הכוללים גם אישורים וגם קובצי Cookie, מועברים לאחר מכן בצורה של ארכיון ZIP באמצעות ה-API של Telegram Bot. בנוסף, הגנב מוגדר לחלץ ספציפית מידע על עוגיות המקושר לפייסבוק, מה שמצביע על כוונה להתפשר ולתפעל חשבונות משתמש למטרות זדוניות.

הקשר הווייטנאמי מעיד עוד על ידי מוסכמות השמות של מאגרי GitHub ו- GitLab, יחד עם הפניות מפורשות לשפה הווייטנאמית בקוד המקור. ראוי לציין שכל הגרסאות של הגנב תואמות לדפדפן Cốc Cốc, דפדפן אינטרנט בשימוש נרחב בקהילה הווייטנאמית.

שחקנים מאיימים ממשיכים לנצל שירותים לגיטימיים למטרותיהם

בשנה האחרונה צצה סדרה של גנבי מידע המתמקדים בעוגיות של פייסבוק, כולל ה- S1deload S t ealer, MrTonyScam, NodeStealer ו- VietCredCare .

מגמה זו עולה בקנה אחד עם בדיקה מוגברת של Meta בארה"ב, שם החברה התמודדה עם ביקורת על כישלונה הנתפס בסיוע לקורבנות של חשבונות פרוצים. נעשו קריאות ל-Meta לטפל בהקדם באירועים המתמשכים והמתמשכים של השתלטות על חשבון.

בנוסף לחששות הללו, התגלה ששחקני איומים מפעילים טקטיקות שונות, כגון אתר רמאות משובט של משחקים, הרעלת SEO ובאג GitHub, כדי להונות האקרים פוטנציאליים למשחקים להפעיל תוכנות זדוניות של Lua. יש לציין כי מפעילי התוכנות הזדוניות מנצלות פגיעות של GitHub המאפשרת לקובץ שהועלה הקשור לבעיה במאגר להימשך, גם אם הבעיה לא נשמרה.

זה מרמז שאנשים יכולים להעלות קובץ לכל מאגר GitHub מבלי להשאיר עקבות, למעט הקישור הישיר. התוכנה הזדונית מצוידת ביכולות תקשורת Command-and-Control (C2), ומוסיפה שכבה נוספת של תחכום לפעילויות המאיימות הללו.