Snake Infostealer

Draudu dalībnieki izmanto Facebook ziņojumus, lai izplatītu uz Python balstītu informācijas zagtāju, kas pazīstams kā Snake. Šis ļaunprātīgais rīks ir izveidots, lai iegūtu sensitīvus datus, tostarp akreditācijas datus. Nozagtie akreditācijas dati pēc tam tiek pārsūtīti uz dažādām platformām, piemēram, Discord, GitHub un Telegram.

Sīkāka informācija par šo kampaņu sākotnēji parādījās sociālo mediju platformā X 2023. gada augustā. Darbības veids ietver potenciāli nekaitīgu RAR vai ZIP arhīva failu nosūtīšanu nenojaušajiem upuriem. Atverot šos failus, tiek aktivizēta infekcijas secība. Process sastāv no diviem starpposmiem, kuros tiek izmantoti lejupielādētāji – pakešu skripts un cmd skripts. Pēdējais ir atbildīgs par informācijas zagļa ienešanu un izpildi no GitLab repozitorija, ko kontrolē apdraudējuma dalībnieks.

Vairākas pētnieku atklātās Snake Infostealer versijas

Drošības eksperti ir identificējuši trīs atšķirīgas informācijas nozagšanas versijas, un trešais variants ir apkopots kā izpildāms, izmantojot PyInstaller. Proti, ļaunprogrammatūra ir pielāgota, lai iegūtu datus no dažādām tīmekļa pārlūkprogrammām, tostarp Cốc Cốc, kas nozīmē, ka uzmanība tiek pievērsta Vjetnamas mērķiem.

Apkopotie dati, kas ietver gan akreditācijas datus, gan sīkfailus, pēc tam tiek pārsūtīti ZIP arhīva veidā, izmantojot Telegram Bot API. Turklāt zaglis ir konfigurēts, lai īpaši izvilktu ar Facebook saistīto sīkfailu informāciju, kas liecina par nolūku apdraudēt lietotāju kontus un manipulēt ar tiem ļaunprātīgos nolūkos.

Par vjetnamiešu savienojumu vēl vairāk liecina GitHub un GitLab repozitoriju nosaukumu piešķiršanas konvencijas, kā arī skaidras atsauces uz vjetnamiešu valodu avota kodā. Ir vērts atzīmēt, ka visi zagļa varianti ir saderīgi ar Cốc Cốc Browser, plaši izmantotu tīmekļa pārlūkprogrammu Vjetnamas kopienā.

Draudu dalībnieki turpina izmantot likumīgus pakalpojumus saviem mērķiem

Pagājušajā gadā ir parādījusies virkne informācijas zagļu, kuru mērķauditorija ir Facebook sīkfaili, tostarp S1deload S t ealer, MrTonyScam, NodeStealer un VietCredCare .

Šī tendence sakrīt ar pastiprinātu Meta pārbaudi ASV, kur uzņēmums ir saskāries ar kritiku par tā uztverto nespēju palīdzēt uzlauztu kontu upuriem. Ir izteikti aicinājumi Meta nekavējoties risināt pieaugošos un pastāvīgos kontu pārņemšanas gadījumus.

Papildus šīm bažām ir atklāts, ka apdraudējuma dalībnieki izmanto dažādas taktikas, piemēram, klonētu spēļu apkrāpšanas vietni, SEO saindēšanos un GitHub kļūdu, lai maldinātu potenciālos spēļu hakerus, lai tie izpildītu Lua ļaunprātīgu programmatūru. Proti, ļaunprātīgas programmatūras operatori izmanto GitHub ievainojamību, kas ļauj saglabāt augšupielādēto failu, kas saistīts ar problēmu krātuvē, pat ja problēma netiek saglabāta.

Tas nozīmē, ka personas var augšupielādēt failu jebkurā GitHub repozitorijā, neatstājot pēdas, izņemot tiešo saiti. Ļaunprātīgā programmatūra ir aprīkota ar Command-and-Control (C2) komunikācijas iespējām, kas šīm draudošajām darbībām piešķir vēl vienu sarežģītības pakāpi.