Snake Infostealer

Trusselaktører bruker Facebook-meldinger for å spre en Python-basert informasjonstyver kjent som Snake. Dette ondsinnede verktøyet er laget for å fange opp sensitive data, inkludert legitimasjon. De stjålne legitimasjonene blir deretter overført til ulike plattformer, som Discord, GitHub og Telegram.

Detaljer om denne kampanjen dukket først opp på den sosiale medieplattformen X i august 2023. Metoden innebærer å sende potensielt harmløse RAR- eller ZIP-arkivfiler til intetanende ofre. Når disse filene åpnes, utløses infeksjonssekvensen. Prosessen består av to mellomliggende stadier som bruker nedlastere – et batch-skript og et cmd-skript. Sistnevnte er ansvarlig for å hente og utføre informasjonstyveren fra et GitLab-lager kontrollert av trusselaktøren.

Flere versjoner av Snake Infostealer avdekket av forskere

Sikkerhetseksperter har identifisert tre forskjellige versjoner av informasjonstyveren, med den tredje varianten kompilert som en kjørbar gjennom PyInstaller. Spesielt er skadelig programvare skreddersydd for å trekke ut data fra forskjellige nettlesere, inkludert Cốc Cốc, noe som innebærer fokus på vietnamesiske mål.

De innsamlede dataene, som omfatter både legitimasjon og informasjonskapsler, overføres deretter i form av et ZIP-arkiv ved hjelp av Telegram Bot API. I tillegg er stjeleren konfigurert til å spesifikt trekke ut informasjonskapselinformasjon knyttet til Facebook, noe som antyder en intensjon om å kompromittere og manipulere brukerkontoer for ondsinnede formål.

Den vietnamesiske forbindelsen er ytterligere bevist av navnekonvensjonene til GitHub- og GitLab-lagrene, sammen med eksplisitte referanser til det vietnamesiske språket i kildekoden. Det er verdt å merke seg at alle varianter av stjeleren er kompatible med Cốc Cốc Browser, en mye brukt nettleser i det vietnamesiske samfunnet.

Trusselaktører fortsetter å utnytte legitime tjenester til sine formål

I løpet av det siste året har det dukket opp en rekke informasjonstyvere rettet mot Facebook-informasjonskapsler, inkludert S1deload S t ealer, MrTonyScam, NodeStealer og VietCredCare .

Denne trenden faller sammen med økt gransking av Meta i USA, der selskapet har møtt kritikk for sin oppfattede unnlatelse av å hjelpe ofre for hackede kontoer. Meta har blitt bedt om å ta opp de økende og vedvarende hendelsene med kontoovertakelser umiddelbart.

I tillegg til disse bekymringene, har det blitt oppdaget at trusselaktører bruker forskjellige taktikker, for eksempel et klonet spilljuksenettsted, SEO-forgiftning og en GitHub-feil, for å lure potensielle spillhackere til å utføre Lua-malware. Spesielt utnytter skadevareoperatørene en GitHub-sårbarhet som lar en opplastet fil knyttet til et problem på et depot vedvare, selv om problemet ikke er lagret.

Dette innebærer at enkeltpersoner kan laste opp en fil til et hvilket som helst GitHub-depot uten å etterlate spor, bortsett fra den direkte lenken. Skadevaren er utstyrt med Command-and-Control (C2) kommunikasjonsevner, og legger til enda et lag med sofistikering til disse truende aktivitetene.