Snake Infostealer

A fenyegetés szereplői Facebook-üzeneteket használnak a Snake néven ismert Python-alapú információlopó terjesztésére. Ez a rosszindulatú eszköz érzékeny adatok, köztük hitelesítő adatok rögzítésére szolgál. Az ellopott hitelesítő adatokat ezt követően különféle platformokra, például a Discordra, a GitHubra és a Telegramra továbbítják.

A kampány részletei először 2023 augusztusában jelentek meg az X közösségimédia-platformon. A modus operandi magában foglalja a potenciálisan ártalmatlan RAR vagy ZIP archív fájlok küldését a gyanútlan áldozatoknak. A fájlok megnyitásakor a fertőzési szekvencia aktiválódik. A folyamat két köztes szakaszból áll, amelyek letöltőket alkalmaznak – egy kötegelt szkriptet és egy cmd szkriptet. Ez utóbbi felelős az információlopó lekéréséért és végrehajtásáért a fenyegetés szereplője által felügyelt GitLab adattárból.

A kutatók által feltárt Snake Infostealer több változata

Biztonsági szakértők az információlopó három különböző verzióját azonosították, amelyek közül a harmadik változatot a PyInstalleren keresztül futtatható fájlként fordították le. Nevezetesen, a rosszindulatú program úgy lett kialakítva, hogy adatokat nyerjen ki különféle webböngészőkből, köztük a Cốc Cốc-ből, ami arra utal, hogy a vietnami célpontokra összpontosít.

Az összegyűjtött adatokat, beleértve a hitelesítő adatokat és a cookie-kat is, a Telegram Bot API segítségével ZIP archívum formájában továbbítják. Ezenkívül a lopó úgy van beállítva, hogy kifejezetten a Facebookhoz kapcsolódó cookie-információkat kinyerje ki, ami arra utal, hogy szándékkal kompromittálják és rosszindulatú célokra manipulálják a felhasználói fiókokat.

A vietnami kapcsolatot tovább bizonyítja a GitHub és a GitLab adattárak elnevezési konvenciói, valamint a vietnami nyelvre való explicit hivatkozások a forráskódban. Érdemes megjegyezni, hogy a stealer minden változata kompatibilis a Cốc Cốc Browserrel, amely egy széles körben használt webböngésző a vietnami közösségen belül.

A fenyegető szereplők továbbra is a törvényes szolgáltatásokat használják ki céljaik érdekében

Az elmúlt évben a Facebook cookie-jait célzó információlopók sorozata jelent meg, köztük az S1deload S t ealer, a MrTonyScam, a NodeStealer és a VietCredCare .

Ez a tendencia egybeesik a Meta fokozott ellenőrzésével az Egyesült Államokban, ahol a vállalatot bírálatok érték amiatt, hogy úgy vélik, hogy nem tudott segíteni a feltört fiókok áldozatainak. Felszólították a Metát, hogy haladéktalanul kezelje a fiókfelvásárlások növekvő és tartós incidenseit.

Ezeken az aggodalmakon kívül felfedezték, hogy a fenyegetések szereplői különféle taktikákat alkalmaznak, például klónozott játékcsaló weboldalt, SEO-mérgezést és GitHub-hibát, hogy megtévesszék a potenciális játékhackereket, hogy Lua kártevőt hajtsanak végre. Nevezetesen, a rosszindulatú programok üzemeltetői kihasználnak egy GitHub sebezhetőséget, amely lehetővé teszi, hogy a tárhelyen lévő problémával társított feltöltött fájl fennmaradjon, még akkor is, ha a probléma nincs elmentve.

Ez azt jelenti, hogy az egyének bármely GitHub-tárhelyre feltölthetnek fájlt anélkül, hogy nyomot hagynának, kivéve a közvetlen hivatkozást. A rosszindulatú program Command-and-Control (C2) kommunikációs képességekkel van felszerelve, ami további kifinomultságot ad ezekhez a fenyegető tevékenységekhez.