스네이크 인포스틸러

위협 행위자들은 Facebook 메시지를 활용하여 Snake라고 알려진 Python 기반 정보 도용자를 유포하고 있습니다. 이 악성 도구는 자격 증명을 포함한 민감한 데이터를 캡처하도록 제작되었습니다. 도난당한 자격 증명은 이후 Discord, GitHub 및 Telegram과 같은 다양한 플랫폼으로 전송됩니다.

이 캠페인에 대한 세부 정보는 2023년 8월 소셜 미디어 플랫폼 X에 처음 공개되었습니다. 작업 방식에는 잠재적으로 무해한 RAR 또는 ZIP 아카이브 파일을 의심하지 않는 피해자에게 보내는 것이 포함됩니다. 이러한 파일을 열면 감염 순서가 시작됩니다. 이 프로세스는 다운로더를 사용하는 두 개의 중간 단계, 즉 배치 스크립트와 cmd 스크립트로 구성됩니다. 후자는 위협 행위자가 제어하는 GitLab 저장소에서 정보 스틸러를 가져와 실행하는 역할을 담당합니다.

연구원들이 발견한 Snake Infostealer의 여러 버전

보안 전문가들은 정보 도둑의 세 가지 버전을 식별했으며, 세 번째 변종은 PyInstaller를 통해 실행 파일로 컴파일되었습니다. 특히 이 악성코드는 Cốc Cốc를 포함한 다양한 웹 브라우저에서 데이터를 추출하도록 맞춤화되어 있어 베트남 표적에 초점을 맞추고 있음을 암시합니다.

자격 증명과 쿠키를 모두 포함하는 수집된 데이터는 이후 Telegram Bot API를 사용하여 ZIP 아카이브 형식으로 전송됩니다. 또한, 스틸러는 Facebook에 연결된 쿠키 정보를 구체적으로 추출하도록 구성되어 있어 악의적인 목적으로 사용자 계정을 손상시키고 조작하려는 의도를 암시합니다.

베트남어 연관성은 GitHub 및 GitLab 리포지토리의 명명 규칙과 소스 코드의 베트남어에 대한 명시적인 참조를 통해 더욱 입증됩니다. 스틸러의 모든 변종은 베트남 커뮤니티에서 널리 사용되는 웹 브라우저인 Cốc Cốc 브라우저와 호환된다는 점은 주목할 가치가 있습니다.

위협 행위자들은 자신의 목적을 위해 계속해서 합법적인 서비스를 악용하고 있습니다.

작년에는 S1deload Stealer , MrTonyScam, NodeStealer 및 VietCredCare 를 포함하여 Facebook 쿠키를 노리는 일련의 정보 도용자가 나타났습니다.

이러한 추세는 미국에서 Meta에 대한 조사가 강화되는 것과 일치합니다. Meta는 해킹된 계정 피해자를 지원하지 못한 것으로 인식되어 비판을 받았습니다. 점점 증가하고 지속되는 계정 탈취 사건을 신속하게 해결해야 한다는 요청이 Meta에 요청되었습니다.

이러한 우려 외에도 위협 행위자들은 잠재적인 게임 해커가 Lua 악성 코드를 실행하도록 속이기 위해 복제된 게임 치트 웹사이트, SEO 중독, GitHub 버그 등 다양한 전술을 사용하고 있는 것으로 나타났습니다. 특히, 악성 코드 운영자는 문제가 저장되지 않은 경우에도 리포지토리의 문제와 관련된 업로드된 파일이 지속되도록 허용하는 GitHub 취약점을 악용합니다.

이는 개인이 직접 링크를 제외하고 추적을 남기지 않고 모든 GitHub 저장소에 파일을 업로드할 수 있음을 의미합니다. 악성코드에는 명령 및 제어(C2) 통신 기능이 탑재되어 있어 이러한 위협 활동에 또 다른 정교함을 더해줍니다.