Snake Infostealer

Os agentes de ameaças estão utilizando mensagens do Facebook para disseminar um ladrão de informações baseado em Python conhecido como Snake. Esta ferramenta maliciosa foi criada para capturar dados confidenciais, incluindo credenciais. As credenciais furtadas são posteriormente transmitidas para diversas plataformas, como Discord, GitHub e Telegram.

Os detalhes sobre esta campanha surgiram inicialmente na plataforma de mídia social X em agosto de 2023. O modus operandi envolve o envio de arquivos RAR ou ZIP potencialmente inofensivos para vítimas inocentes. Ao abrir esses arquivos, a sequência de infecção é acionada. O processo compreende duas etapas intermediárias que empregam downloaders – um script em lote e um script cmd. Este último é responsável por buscar e executar o ladrão de informações de um repositório GitLab controlado pelo autor da ameaça.

Os Pesquisadores Decobriram Várias Versões do Snake Infostealer 

Os especialistas em segurança identificaram três versões distintas do ladrão de informações, com a terceira variante compilada como executável por meio do PyInstaller. Notavelmente, o malware é adaptado para extrair dados de vários navegadores da Web, incluindo Cốc Cốc, o que implica um foco em alvos vietnamitas.

Os dados recolhidos, incluindo credenciais e cookies, são posteriormente transmitidos sob a forma de um arquivo ZIP através da API Telegram Bot. Além disso, o ladrão está configurado para extrair especificamente informações de cookies vinculadas ao Facebook, sugerindo uma intenção de comprometer e manipular contas de usuários para fins maliciosos.

A conexão vietnamita é ainda evidenciada pelas convenções de nomenclatura dos repositórios GitHub e GitLab, juntamente com referências explícitas ao idioma vietnamita no código-fonte. É importante notar que todas as variantes do ladrão são compatíveis com o navegador Cốc Cốc, um navegador da Web amplamente usado na comunidade vietnamita.

Os Autores de Ameaças Continuam a Explorar Serviços Legítimos para os Seus Fins

No ano passado, surgiram uma série de ladrões de informações direcionados aos cookies do Facebook, incluindo o S1deload Stealer, MrTonyScam, NodeStealer e VietCredCare .

Esta tendência coincide com o aumento do escrutínio da Meta nos EUA, onde a empresa tem enfrentado críticas pela sua aparente falha em ajudar vítimas de contas hackeadas. Foram feitos apelos para que a Meta resolva prontamente os incidentes crescentes e persistentes de aquisição de contas.

Além dessas preocupações, foi descoberto que os agentes de ameaças estão empregando várias táticas, como um site clonado de truques de jogos, envenenamento de SEO e um bug do GitHub, para enganar possíveis hackers de jogos e fazê-los executar o malware Lua. Notavelmente, os operadores de malware exploram uma vulnerabilidade do GitHub que permite que um arquivo carregado associado a um problema em um repositório persista, mesmo que o problema não seja salvo.

Isso implica que os indivíduos podem fazer upload de um arquivo para qualquer repositório GitHub sem deixar rastros, exceto o link direto. O malware está equipado com capacidades de comunicação Comando e Controle (C2), acrescentando outra camada de sofisticação a essas atividades ameaçadoras.