Wężowy złodziej informacji

Podmioty zagrażające wykorzystują wiadomości z Facebooka do rozpowszechniania opartego na Pythonie narzędzia do kradzieży informacji, znanego jako Snake. To złośliwe narzędzie zostało stworzone w celu przechwytywania poufnych danych, w tym danych uwierzytelniających. Wykradzione dane uwierzytelniające są następnie przesyłane na różne platformy, takie jak Discord, GitHub i Telegram.

Szczegóły dotyczące tej kampanii pojawiły się początkowo na platformie mediów społecznościowych X w sierpniu 2023 r. Sposób działania polega na wysyłaniu potencjalnie nieszkodliwych plików archiwalnych RAR lub ZIP do niczego niepodejrzewających ofiar. Po otwarciu tych plików uruchamiana jest sekwencja infekcji. Proces składa się z dwóch etapów pośrednich z wykorzystaniem downloaderów – skryptu wsadowego i skryptu cmd. Ten ostatni jest odpowiedzialny za pobranie i wykonanie złodzieja informacji z repozytorium GitLab kontrolowanego przez cyberprzestępcę.

Badacze odkryli kilka wersji złodzieja informacji o wężu

Eksperci ds. bezpieczeństwa zidentyfikowali trzy różne wersje złodzieja informacji, przy czym trzeci wariant jest skompilowany jako plik wykonywalny za pomocą programu PyInstaller. Warto zauważyć, że szkodliwe oprogramowanie jest przystosowane do wyodrębniania danych z różnych przeglądarek internetowych, w tym z Cốc Cốc, co sugeruje, że koncentruje się na wietnamskich celach.

Zebrane dane, obejmujące zarówno dane uwierzytelniające, jak i pliki cookie, są następnie przesyłane w formie archiwum ZIP za pomocą interfejsu API Telegram Bot. Ponadto złodziej jest skonfigurowany tak, aby specjalnie wyodrębniać informacje z plików cookie powiązane z Facebookiem, co sugeruje zamiar włamania się na konta użytkowników i manipulowania nimi w złośliwych celach.

O wietnamskim powiązaniu świadczą ponadto konwencje nazewnictwa repozytoriów GitHub i GitLab, wraz z wyraźnymi odniesieniami do języka wietnamskiego w kodzie źródłowym. Warto zauważyć, że wszystkie warianty złodzieja są kompatybilne z przeglądarką Cốc Cốc Browser, szeroko używaną przeglądarką internetową w społeczności wietnamskiej.

Podmioty zagrażające w dalszym ciągu wykorzystują legalne usługi do swoich celów

W zeszłym roku pojawiła się seria programów kradnących informacje, których celem są pliki cookie Facebooka, w tym S1deload St ealer , MrTonyScam, NodeStealer i VietCredCare .

Tendencja ta zbiega się ze wzmożoną kontrolą Meta w USA, gdzie firma spotkała się z krytyką za rzekomy brak pomocy ofiarom zhakowanych kont. Wezwano Meta do niezwłocznego zajęcia się coraz częstszymi przypadkami przejęć kont.

Oprócz tych obaw odkryto, że ugrupowania zagrażające stosują różne taktyki, takie jak sklonowana witryna z oszustwami do gier, zatruwanie SEO i błąd GitHub, aby oszukać potencjalnych hakerów gier w celu uruchomienia złośliwego oprogramowania Lua. W szczególności operatorzy szkodliwego oprogramowania wykorzystują lukę w zabezpieczeniach GitHuba, która pozwala na zachowanie przesłanego pliku powiązanego z problemem w repozytorium, nawet jeśli problem nie zostanie zapisany.

Oznacza to, że poszczególne osoby mogą przesłać plik do dowolnego repozytorium GitHub bez pozostawiania śladu, z wyjątkiem bezpośredniego łącza. Szkodnik jest wyposażony w możliwości komunikacji typu Command-and-Control (C2), co dodaje kolejny poziom wyrafinowania tym zagrażającym działaniom.