सांप की मुखबिरी करने वाला
थ्रेट एक्टर्स फेसबुक संदेशों का उपयोग स्नेक नामक पायथन-आधारित सूचना चोरीकर्ता को प्रसारित करने के लिए कर रहे हैं। यह दुर्भावनापूर्ण टूल क्रेडेंशियल्स सहित संवेदनशील डेटा को कैप्चर करने के लिए तैयार किया गया है। चुराए गए क्रेडेंशियल बाद में डिस्कॉर्ड, गिटहब और टेलीग्राम जैसे विभिन्न प्लेटफार्मों पर प्रसारित किए जाते हैं।
इस अभियान से संबंधित विवरण सबसे पहले अगस्त 2023 में सोशल मीडिया प्लेटफॉर्म इन फ़ाइलों को खोलने पर, संक्रमण क्रम चालू हो जाता है। इस प्रक्रिया में डाउनलोडर्स को नियोजित करने वाले दो मध्यस्थ चरण शामिल हैं - एक बैच स्क्रिप्ट और एक सीएमडी स्क्रिप्ट। उत्तरार्द्ध खतरे वाले अभिनेता द्वारा नियंत्रित GitLab रिपॉजिटरी से जानकारी चुराने वाले को लाने और निष्पादित करने के लिए जिम्मेदार है।
शोधकर्ताओं द्वारा स्नेक इन्फोस्टीलर के कई संस्करणों का पता लगाया गया
सुरक्षा विशेषज्ञों ने सूचना चुराने वाले के तीन अलग-अलग संस्करणों की पहचान की है, तीसरे संस्करण को PyInstaller के माध्यम से निष्पादन योग्य के रूप में संकलित किया गया है। विशेष रूप से, मैलवेयर को Cốc Cốc सहित विभिन्न वेब ब्राउज़रों से डेटा निकालने के लिए तैयार किया गया है, जिसका अर्थ वियतनामी लक्ष्यों पर ध्यान केंद्रित करना है।
एकत्रित डेटा, जिसमें क्रेडेंशियल्स और कुकीज़ दोनों शामिल हैं, बाद में टेलीग्राम बॉट एपीआई का उपयोग करके ज़िप संग्रह के रूप में प्रसारित किया जाता है। इसके अतिरिक्त, चोरी करने वाले को विशेष रूप से फेसबुक से जुड़ी कुकी जानकारी निकालने के लिए कॉन्फ़िगर किया गया है, जो दुर्भावनापूर्ण उद्देश्यों के लिए उपयोगकर्ता खातों से समझौता करने और हेरफेर करने के इरादे का सुझाव देता है।
वियतनामी कनेक्शन को GitHub और GitLab रिपॉजिटरी के नामकरण सम्मेलनों के साथ-साथ स्रोत कोड में वियतनामी भाषा के स्पष्ट संदर्भों से भी प्रमाणित किया गया है। यह ध्यान देने योग्य है कि चोरी करने वाले के सभी प्रकार Cốc Cốc ब्राउज़र के साथ संगत हैं, जो वियतनामी समुदाय के भीतर व्यापक रूप से उपयोग किया जाने वाला वेब ब्राउज़र है।
धमकी देने वाले अभिनेता अपने उद्देश्यों के लिए वैध सेवाओं का शोषण करना जारी रखते हैं
पिछले वर्ष में, फेसबुक कुकीज़ को लक्षित करने वाली जानकारी चुराने वालों की एक श्रृंखला सामने आई है, जिनमें S1deload S t ealer, MrTonyScam, NodeStealer और VietCredCare शामिल हैं।
यह प्रवृत्ति अमेरिका में मेटा की बढ़ती जांच के साथ मेल खाती है, जहां कंपनी को हैक किए गए खातों के पीड़ितों की सहायता करने में अपनी कथित विफलता के लिए आलोचना का सामना करना पड़ा है। खाता अधिग्रहण की बढ़ती और लगातार घटनाओं को तुरंत संबोधित करने के लिए मेटा से कॉल की गई है।
इन चिंताओं के अलावा, यह पता चला है कि लूआ मैलवेयर को निष्पादित करने के लिए संभावित गेम हैकर्स को धोखा देने के लिए खतरे वाले कलाकार क्लोन गेम चीट वेबसाइट, एसईओ पॉइज़निंग और गिटहब बग जैसी विभिन्न रणनीतियां अपना रहे हैं। विशेष रूप से, मैलवेयर ऑपरेटर GitHub भेद्यता का फायदा उठाते हैं जो रिपॉजिटरी पर किसी समस्या से जुड़ी अपलोड की गई फ़ाइल को बने रहने की अनुमति देता है, भले ही समस्या सहेजी न गई हो।
इसका तात्पर्य यह है कि व्यक्ति सीधे लिंक को छोड़कर, कोई निशान छोड़े बिना किसी भी GitHub रिपॉजिटरी में फ़ाइल अपलोड कर सकते हैं। मैलवेयर कमांड-एंड-कंट्रोल (C2) संचार क्षमताओं से लैस है, जो इन खतरनाक गतिविधियों में परिष्कार की एक और परत जोड़ता है।
