Snake Infostealer

Bedreigingsactoren gebruiken Facebook-berichten om een op Python gebaseerde informatiedief genaamd Snake te verspreiden. Deze kwaadaardige tool is gemaakt om gevoelige gegevens vast te leggen, inclusief inloggegevens. De gestolen inloggegevens worden vervolgens verzonden naar verschillende platforms, zoals Discord, GitHub en Telegram.

Details over deze campagne doken voor het eerst op op het sociale mediaplatform X in augustus 2023. De modus operandi omvat het verzenden van potentieel onschadelijke RAR- of ZIP-archiefbestanden naar nietsvermoedende slachtoffers. Bij het openen van deze bestanden wordt de infectiesequentie geactiveerd. Het proces bestaat uit twee tussenfasen waarbij downloaders worden gebruikt: een batchscript en een cmd-script. Deze laatste is verantwoordelijk voor het ophalen en uitvoeren van de informatiedief uit een GitLab-repository die wordt beheerd door de bedreigingsacteur.

Verschillende versies van de Snake Infostealer opgegraven door onderzoekers

Beveiligingsexperts hebben drie verschillende versies van de informatiedief geïdentificeerd, waarbij de derde variant als uitvoerbaar bestand is samengesteld via PyInstaller. De malware is met name toegesneden op het extraheren van gegevens uit verschillende webbrowsers, waaronder Cốc Cốc, wat een focus op Vietnamese doelen impliceert.

De verzamelde gegevens, die zowel inloggegevens als cookies omvatten, worden vervolgens verzonden in de vorm van een ZIP-archief met behulp van de Telegram Bot API. Bovendien is de stealer geconfigureerd om specifiek cookie-informatie te extraheren die aan Facebook is gekoppeld, wat duidt op de intentie om gebruikersaccounts te compromitteren en te manipuleren voor kwaadaardige doeleinden.

De Vietnamese connectie wordt verder bewezen door de naamgevingsconventies van de GitHub- en GitLab-repository's, samen met expliciete verwijzingen naar de Vietnamese taal in de broncode. Het is vermeldenswaard dat alle varianten van de stealer compatibel zijn met de Cốc Cốc Browser, een veelgebruikte webbrowser binnen de Vietnamese gemeenschap.

Bedreigingsactoren blijven legitieme diensten voor hun doeleinden exploiteren

Het afgelopen jaar is er een reeks informatiestelers opgedoken die zich richten op Facebook-cookies, waaronder de S1deload S tealer , MrTonyScam, NodeStealer en VietCredCare .

Deze trend valt samen met het toegenomen toezicht op Meta in de VS, waar het bedrijf kritiek heeft gekregen vanwege zijn vermeende onvermogen om slachtoffers van gehackte accounts te helpen. Er zijn oproepen gedaan aan Meta om de toenemende en aanhoudende incidenten van accountovernames onmiddellijk aan te pakken.

Naast deze zorgen is ontdekt dat bedreigingsactoren verschillende tactieken gebruiken, zoals een gekloonde game cheat-website, SEO-vergiftiging en een GitHub-bug, om potentiële game-hackers te misleiden om Lua-malware uit te voeren. De malware-operatoren maken met name misbruik van een GitHub-kwetsbaarheid waardoor een geüpload bestand dat verband houdt met een probleem in een repository kan blijven bestaan, zelfs als het probleem niet wordt opgeslagen.

Dit houdt in dat individuen een bestand naar elke GitHub-repository kunnen uploaden zonder een spoor achter te laten, behalve de directe link. De malware is uitgerust met Command-and-Control (C2)-communicatiemogelijkheden, wat een extra laag van verfijning toevoegt aan deze bedreigende activiteiten.