Infostealer Ular

Aktor ancaman menggunakan mesej Facebook untuk menyebarkan pencuri maklumat berasaskan Python yang dikenali sebagai Snake. Alat hasad ini direka untuk menangkap data sensitif, termasuk bukti kelayakan. Bukti kelayakan yang dicuri kemudiannya dihantar ke pelbagai platform, seperti Discord, GitHub dan Telegram.

Butiran mengenai kempen ini mula-mula muncul di platform media sosial X pada Ogos 2023. Modus operandi itu melibatkan penghantaran fail arkib RAR atau ZIP yang berpotensi tidak berbahaya kepada mangsa yang tidak disyaki. Apabila membuka fail ini, urutan jangkitan dicetuskan. Proses ini terdiri daripada dua peringkat perantara yang menggunakan pemuat turun – skrip kelompok dan skrip cmd. Yang terakhir bertanggungjawab untuk mengambil dan melaksanakan pencuri maklumat daripada repositori GitLab yang dikawal oleh aktor ancaman.

Beberapa Versi Snake Infostealer Ditemui Penyelidik

Pakar keselamatan telah mengenal pasti tiga versi berbeza bagi pencuri maklumat, dengan varian ketiga disusun sebagai boleh laku melalui PyInstaller. Terutamanya, perisian hasad disesuaikan untuk mengekstrak data daripada pelbagai pelayar Web, termasuk Cốc Cốc, membayangkan tumpuan pada sasaran Vietnam.

Data yang dikumpul, merangkumi bukti kelayakan dan kuki, kemudiannya dihantar dalam bentuk arkib ZIP menggunakan API Bot Telegram. Selain itu, pencuri dikonfigurasikan untuk mengekstrak maklumat kuki yang dipautkan ke Facebook secara khusus, mencadangkan niat untuk berkompromi dan memanipulasi akaun pengguna untuk tujuan berniat jahat.

Sambungan Vietnam dibuktikan lagi dengan konvensyen penamaan repositori GitHub dan GitLab, bersama-sama dengan rujukan eksplisit kepada bahasa Vietnam dalam kod sumber. Perlu diingat bahawa semua varian pencuri adalah serasi dengan Pelayar Cốc Cốc, penyemak imbas Web yang digunakan secara meluas dalam komuniti Vietnam.

Ancaman Pelakon Terus Memanfaatkan Perkhidmatan Sah untuk Tujuan Mereka

Pada tahun lalu, satu siri pencuri maklumat yang menyasarkan kuki Facebook telah muncul, termasuk S1deload S t ealer, MrTonyScam, NodeStealer dan VietCredCare .

Aliran ini bertepatan dengan peningkatan penelitian terhadap Meta di AS, di mana syarikat itu telah menghadapi kritikan kerana dianggap gagal membantu mangsa akaun yang digodam. Panggilan telah dibuat untuk Meta menangani insiden pengambilalihan akaun yang semakin meningkat dan berterusan dengan segera.

Selain kebimbangan ini, didapati bahawa pelakon ancaman menggunakan pelbagai taktik, seperti laman web penipu permainan klon, keracunan SEO dan pepijat GitHub, untuk memperdayakan penggodam permainan yang berpotensi untuk melaksanakan perisian hasad Lua. Terutamanya, pengendali perisian hasad mengeksploitasi kerentanan GitHub yang membenarkan fail yang dimuat naik yang dikaitkan dengan isu pada repositori untuk berterusan, walaupun isu itu tidak disimpan.

Ini menunjukkan bahawa individu boleh memuat naik fail ke mana-mana repositori GitHub tanpa meninggalkan kesan, kecuali pautan langsung. Malware ini dilengkapi dengan keupayaan komunikasi Command-and-Control (C2), menambah satu lagi lapisan kecanggihan kepada aktiviti yang mengancam ini.