Snake Infostealer

Actorii amenințărilor folosesc mesajele Facebook pentru a disemina un furt de informații bazat pe Python, cunoscut sub numele de Snake. Acest instrument rău intenționat este creat pentru a captura date sensibile, inclusiv acreditările. Acreditările furate sunt ulterior transmise pe diverse platforme, cum ar fi Discord, GitHub și Telegram.

Detalii despre această campanie au apărut inițial pe platforma de socializare X în august 2023. Modul de operare implică trimiterea de fișiere de arhivă RAR sau ZIP potențial inofensive victimelor nebănuitoare. La deschiderea acestor fișiere, se declanșează secvența de infecție. Procesul cuprinde două etape intermediare care utilizează aplicații de descărcare – un script batch și un script cmd. Acesta din urmă este responsabil pentru preluarea și executarea furtului de informații dintr-un depozit GitLab controlat de actorul amenințării.

Mai multe versiuni ale Snake Infostealer descoperite de cercetători

Experții în securitate au identificat trei versiuni distincte ale furtului de informații, cu a treia variantă compilată ca un executabil prin PyInstaller. În special, malware-ul este adaptat pentru a extrage date din diferite browsere web, inclusiv Cốc Cốc, ceea ce implică o concentrare asupra țintelor vietnameze.

Datele colectate, cuprinzând atât acreditările, cât și modulele cookie, sunt ulterior transmise sub forma unei arhive ZIP folosind API-ul Telegram Bot. În plus, furatorul este configurat pentru a extrage în mod special informații despre cookie-uri legate de Facebook, sugerând o intenție de a compromite și manipula conturile de utilizator în scopuri rău intenționate.

Conexiunea vietnameză este evidențiată în continuare de convențiile de numire ale depozitelor GitHub și GitLab, împreună cu referințe explicite la limba vietnameză în codul sursă. Este demn de remarcat faptul că toate variantele stealer-ului sunt compatibile cu Cốc Cốc Browser, un browser web utilizat pe scară largă în comunitatea vietnameză.

Actorii amenințări continuă să exploateze serviciile legitime în scopurile lor

În ultimul an, au apărut o serie de furători de informații care vizează cookie-urile Facebook, inclusiv S1deload S t ealer, MrTonyScam, NodeStealer și VietCredCare .

Această tendință coincide cu o atenție sporită a Meta în SUA, unde compania s-a confruntat cu critici pentru eșecul perceput de a ajuta victimele conturi piratate. S-au făcut apeluri către Meta să abordeze cu promptitudine incidentele în creștere și persistente ale preluării conturilor.

În plus față de aceste preocupări, s-a descoperit că actorii amenințărilor folosesc diverse tactici, cum ar fi un site web de trișuri de jocuri clonate, otrăvire SEO și o eroare GitHub, pentru a înșela potențialii hackeri de jocuri să execute malware Lua. În special, operatorii de programe malware exploatează o vulnerabilitate GitHub care permite unui fișier încărcat asociat cu o problemă într-un depozit să persistă, chiar dacă problema nu este salvată.

Acest lucru implică faptul că persoanele pot încărca un fișier în orice depozit GitHub fără a lăsa urme, cu excepția linkului direct. Malware-ul este echipat cu capabilități de comunicare Command-and-Control (C2), adăugând un alt nivel de sofisticare acestor activități amenințătoare.