Zmija Infostealer

Akteri prijetnji koriste Facebook poruke za širenje kradljivca informacija temeljenog na Pythonu poznatog kao Zmija. Ovaj zlonamjerni alat izrađen je za hvatanje osjetljivih podataka, uključujući vjerodajnice. Ukradene vjerodajnice se naknadno prenose na različite platforme, kao što su Discord, GitHub i Telegram.

Pojedinosti o ovoj kampanji prvotno su se pojavile na platformi društvenih medija X u kolovozu 2023. Modus operandi uključuje slanje potencijalno bezopasnih RAR ili ZIP arhivskih datoteka žrtvama koje ništa ne sumnjaju. Nakon otvaranja ovih datoteka, pokreće se slijed infekcije. Proces se sastoji od dvije međufaze koje zapošljavaju programe za preuzimanje – batch skriptu i cmd skriptu. Potonji je odgovoran za dohvaćanje i izvršavanje kradljivca informacija iz GitLab repozitorija kojim upravlja akter prijetnje.

Istraživači su otkrili nekoliko verzija zmije Infostealer

Stručnjaci za sigurnost identificirali su tri različite verzije kradljivca informacija, pri čemu je treća varijanta kompajlirana kao izvršna datoteka putem PyInstallera. Naime, zlonamjerni je softver prilagođen izvlačenju podataka iz raznih web preglednika, uključujući Cốc Cốc, što implicira fokus na vijetnamske mete.

Prikupljeni podaci, uključujući vjerodajnice i kolačiće, naknadno se prenose u obliku ZIP arhive pomoću Telegram Bot API-ja. Osim toga, kradljivac je konfiguriran za posebno izdvajanje informacija kolačića povezanih s Facebookom, što sugerira namjeru kompromitiranja i manipuliranja korisničkim računima u zlonamjerne svrhe.

Vijetnamska veza dodatno je dokazana konvencijama imenovanja repozitorija GitHub i GitLab, zajedno s eksplicitnim referencama na vijetnamski jezik u izvornom kodu. Vrijedno je napomenuti da su sve varijante stealera kompatibilne s preglednikom Cốc Cốc, široko korištenim web preglednikom u vijetnamskoj zajednici.

Akteri prijetnji nastavljaju iskorištavati legitimne usluge u svoje svrhe

Prošle godine pojavio se niz kradljivaca informacija koji ciljaju Facebook kolačiće, uključujući S1deload S t ealer, MrTonyScam, NodeStealer i VietCredCare .

Ovaj trend koincidira s povećanim nadzorom Mete u SAD-u, gdje se tvrtka suočila s kritikama zbog percipiranog neuspjeha u pružanju pomoći žrtvama hakiranih računa. Upućeni su pozivi da se Meta odmah pozabavi sve češćim i stalnim slučajevima preuzimanja računa.

Osim ovih zabrinutosti, otkriveno je da akteri prijetnji koriste razne taktike, kao što je klonirana web stranica za varanje igrica, trovanje SEO-om i greška na GitHubu, kako bi prevarili potencijalne hakere igrica da pokrenu Lua zlonamjerni softver. Značajno je da operateri zlonamjernog softvera iskorištavaju ranjivost GitHuba koja omogućuje učitanoj datoteci povezanoj s problemom u repozitoriju da ostane prisutan, čak i ako problem nije spremljen.

To implicira da pojedinci mogu prenijeti datoteku u bilo koji GitHub repozitorij bez ostavljanja traga, osim izravne veze. Malware je opremljen komunikacijskim mogućnostima Command-and-Control (C2), dodajući još jedan sloj sofisticiranosti ovim prijetećim aktivnostima.