Змея-похититель информации

Злоумышленники используют сообщения Facebook для распространения программы для кражи информации на основе Python, известной как Snake. Этот вредоносный инструмент создан для захвата конфиденциальных данных, включая учетные данные. Украденные учетные данные впоследствии передаются на различные платформы, такие как Discord, GitHub и Telegram.

Подробности этой кампании первоначально появились на платформе социальных сетей X в августе 2023 года. Методика работы предполагает отправку потенциально безобидных архивных файлов RAR или ZIP ничего не подозревающим жертвам. При открытии этих файлов запускается последовательность заражения. Процесс состоит из двух промежуточных этапов с использованием загрузчиков: пакетного сценария и cmd-скрипта. Последний отвечает за получение и выполнение похитителя информации из репозитория GitLab, контролируемого злоумышленником.

Исследователи обнаружили несколько версий змеиного информационного похитителя

Эксперты по безопасности выявили три различные версии похитителя информации, причем третий вариант скомпилирован как исполняемый файл с помощью PyInstaller. Примечательно, что вредоносное ПО предназначено для извлечения данных из различных веб-браузеров, включая Cốc Cốc, что подразумевает ориентацию на вьетнамские цели.

Собранные данные, включая учетные данные и файлы cookie, впоследствии передаются в виде ZIP-архива с использованием API Telegram Bot. Кроме того, похититель настроен на специальное извлечение информации из файлов cookie, связанных с Facebook, что предполагает намерение скомпрометировать учетные записи пользователей и манипулировать ими в злонамеренных целях.

О связи с вьетнамским языком также свидетельствуют соглашения об именах репозиториев GitHub и GitLab, а также явные ссылки на вьетнамский язык в исходном коде. Стоит отметить, что все варианты вора совместимы с браузером Cốc Cốc, широко используемым во вьетнамском сообществе.

Злоумышленники продолжают использовать законные сервисы в своих целях

В прошлом году появилась серия похитителей информации, нацеленных на файлы cookie Facebook, в том числе S1deload Stealer , MrTonyScam, NodeStealer и VietCredCare .

Эта тенденция совпадает с усилением внимания к Meta в США, где компания столкнулась с критикой за предполагаемую неспособность помочь жертвам взломанных учетных записей. К Meta были обращены призывы как можно скорее устранить растущие и постоянные случаи захвата учетных записей.

В дополнение к этим опасениям было обнаружено, что злоумышленники используют различные тактики, такие как клонированный веб-сайт с чит-играми, SEO-отравление и ошибка GitHub, чтобы обманом заставить потенциальных игровых хакеров запустить вредоносное ПО Lua. Примечательно, что операторы вредоносного ПО используют уязвимость GitHub, которая позволяет сохранить загруженный файл, связанный с проблемой в репозитории, даже если проблема не сохранена.

Это означает, что люди могут загрузить файл в любой репозиторий GitHub, не оставляя следов, за исключением прямой ссылки. Вредоносная программа оснащена коммуникационными возможностями командования и контроля (C2), что добавляет еще один уровень сложности этим угрожающим действиям.