Il ladro di informazioni sui serpenti
Gli autori delle minacce utilizzano i messaggi di Facebook per diffondere un ladro di informazioni basato su Python noto come Snake. Questo strumento dannoso è realizzato per acquisire dati sensibili, comprese le credenziali. Le credenziali rubate vengono successivamente trasmesse a diverse piattaforme come Discord, GitHub e Telegram.
I dettagli di questa campagna sono emersi inizialmente sulla piattaforma di social media X nell'agosto 2023. Il modus operandi prevede l'invio di file di archivio RAR o ZIP potenzialmente innocui a vittime ignare. All'apertura di questi file, viene attivata la sequenza di infezione. Il processo comprende due fasi intermedie che utilizzano downloader: uno script batch e uno script cmd. Quest'ultimo è responsabile del recupero e dell'esecuzione del ladro di informazioni da un repository GitLab controllato dall'autore della minaccia.
Diverse versioni dell'Infostealer Snake scoperte dai ricercatori
Gli esperti di sicurezza hanno identificato tre versioni distinte del ladro di informazioni, con la terza variante compilata come eseguibile tramite PyInstaller. In particolare, il malware è progettato per estrarre dati da vari browser Web, incluso Cốc Cốc, il che implica un focus su obiettivi vietnamiti.
I dati raccolti, che comprendono sia credenziali che cookie, vengono successivamente trasmessi sotto forma di archivio ZIP utilizzando l'API Bot di Telegram. Inoltre, il ladro è configurato per estrarre specificamente le informazioni sui cookie collegati a Facebook, suggerendo l'intento di compromettere e manipolare gli account utente per scopi dannosi.
La connessione vietnamita è ulteriormente evidenziata dalle convenzioni di denominazione dei repository GitHub e GitLab, insieme ai riferimenti espliciti alla lingua vietnamita nel codice sorgente. Vale la pena notare che tutte le varianti dello stealer sono compatibili con Cốc Cốc Browser, un browser Web ampiamente utilizzato nella comunità vietnamita.
Gli autori delle minacce continuano a sfruttare servizi legittimi per i loro scopi
Nell'ultimo anno sono emersi una serie di ladri di informazioni che prendono di mira i cookie di Facebook, tra cui S1deload St ealer , MrTonyScam, NodeStealer e VietCredCare .
Questa tendenza coincide con un maggiore controllo su Meta negli Stati Uniti, dove la società ha dovuto affrontare critiche per la sua incapacità di aiutare le vittime di account compromessi. È stato chiesto a Meta di affrontare tempestivamente i crescenti e persistenti episodi di furto di account.
Oltre a queste preoccupazioni, è stato scoperto che gli autori delle minacce stanno impiegando varie tattiche, come un sito Web di trucchi di gioco clonato, avvelenamento SEO e un bug GitHub, per ingannare i potenziali hacker di giochi inducendoli a eseguire il malware Lua. In particolare, gli operatori di malware sfruttano una vulnerabilità di GitHub che consente a un file caricato associato a un problema su un repository di persistere, anche se il problema non viene salvato.
Ciò implica che gli individui possono caricare un file su qualsiasi repository GitHub senza lasciare traccia, ad eccezione del collegamento diretto. Il malware è dotato di funzionalità di comunicazione Command-and-Control (C2), che aggiungono un ulteriore livello di sofisticazione a queste attività minacciose.
