Snake Infostealer

Grėsmių veikėjai naudoja „Facebook“ žinutes, kad išplatintų „Python“ pagrįstą informacijos vagystę, žinomą kaip „Snake“. Šis kenkėjiškas įrankis sukurtas slaptiems duomenims, įskaitant kredencialus, užfiksuoti. Sugadinti kredencialai vėliau perduodami įvairioms platformoms, tokioms kaip „Discord“, „GitHub“ ir „Telegram“.

Išsami informacija apie šią kampaniją iš pradžių pasirodė socialinės žiniasklaidos platformoje X 2023 m. rugpjūčio mėn. Modus operandi apima potencialiai nekenksmingų RAR arba ZIP archyvų failų siuntimą nieko neįtariančioms aukoms. Atidarius šiuos failus, suaktyvinama užkrėtimo seka. Procesą sudaro du tarpiniai etapai, kuriuose naudojami atsisiuntimo įrenginiai – paketinis scenarijus ir cmd scenarijus. Pastarasis yra atsakingas už informacijos vagystės gavimą ir vykdymą iš „GitLab“ saugyklos, kurią kontroliuoja grėsmės veikėjas.

Kelios „Snake Infostealer“ versijos, kurias atrado mokslininkai

Saugumo ekspertai nustatė tris skirtingas informacijos vagystės versijas, o trečiasis variantas buvo sudarytas kaip vykdomasis failas per PyInstaller. Pažymėtina, kad kenkėjiška programa yra pritaikyta išgauti duomenis iš įvairių interneto naršyklių, įskaitant Cốc Cốc, o tai reiškia, kad dėmesys sutelkiamas į Vietnamo taikinius.

Surinkti duomenys, apimantys ir kredencialus, ir slapukus, vėliau perduodami ZIP archyvo forma naudojant Telegram Bot API. Be to, vagystė sukonfigūruota taip, kad specialiai ištrauktų su „Facebook“ susietą slapukų informaciją, nurodant ketinimą pažeisti vartotojų paskyras ir jas manipuliuoti piktavališkais tikslais.

Vietnamietišką ryšį dar labiau įrodo „GitHub“ ir „GitLab“ saugyklų pavadinimų sutartys, taip pat aiškios nuorodos į vietnamiečių kalbą šaltinio kode. Verta paminėti, kad visi stealer variantai yra suderinami su Cốc Cốc Browser – vietnamiečių bendruomenėje plačiai naudojama žiniatinklio naršykle.

Grėsmės veikėjai ir toliau naudojasi teisėtomis paslaugomis savo tikslams

Praėjusiais metais pasirodė daugybė informacijos vagysčių, nukreiptų į „Facebook“ slapukus, įskaitant „S1deload S t ealer“, „MrTonyScam“, „NodeStealer“ ir „VietCredCare “.

Ši tendencija sutampa su didesniu Meta tikrinimu JAV, kur bendrovė susilaukė kritikos dėl nesugebėjimo padėti nulaužtų paskyrų aukoms. Buvo kreiptasi į Meta, kad ji skubiai išspręstų didėjančius ir nuolatinius paskyrų perėmimo atvejus.

Be šių rūpesčių, buvo nustatyta, kad grėsmės veikėjai taiko įvairias taktikas, tokias kaip klonuotas žaidimų apgaulės tinklalapis, apsinuodijimas SEO ir „GitHub“ klaida, kad apgaudinėtų potencialius žaidimų įsilaužėlius, kad jie paleistų Lua kenkėjišką programą. Pažymėtina, kad kenkėjiškų programų operatoriai išnaudoja „GitHub“ pažeidžiamumą, leidžiantį išlikti įkeltam failui, susijusiam su saugyklos problema, net jei problema neišsaugoma.

Tai reiškia, kad asmenys gali įkelti failą į bet kurią „GitHub“ saugyklą nepalikdami pėdsakų, išskyrus tiesioginę nuorodą. Kenkėjiška programinė įranga aprūpinta Command-and-Control (C2) ryšio galimybėmis, kurios suteikia dar vieną rafinuotumą šiai grėsmingai veiklai.