Snake Infostealer

Aktéri hrozieb využívajú správy na Facebooku na šírenie informácií o krádeži informácií v jazyku Python známeho ako Snake. Tento škodlivý nástroj je vytvorený na zachytávanie citlivých údajov vrátane poverení. Ukradnuté prihlasovacie údaje sa následne prenesú na rôzne platformy, ako napríklad Discord, GitHub a Telegram.

Podrobnosti o tejto kampani sa pôvodne objavili na platforme sociálnych médií X v auguste 2023. Spôsob práce zahŕňa posielanie potenciálne neškodných archívnych súborov RAR alebo ZIP nič netušiacim obetiam. Po otvorení týchto súborov sa spustí sekvencia infekcie. Proces pozostáva z dvoch medzistupňov využívajúcich downloadery – dávkový skript a cmd skript. Ten je zodpovedný za načítanie a spustenie kradnutia informácií z úložiska GitLab kontrolovaného aktérom hrozby.

Výskumníci odhalili niekoľko verzií hada Infostealer

Bezpečnostní experti identifikovali tri odlišné verzie informačného zlodeja, pričom tretí variant bol zostavený ako spustiteľný cez PyInstaller. Malvér je predovšetkým prispôsobený na extrahovanie údajov z rôznych webových prehliadačov vrátane Cốc Cốc, čo znamená zameranie sa na vietnamské ciele.

Zhromaždené údaje zahŕňajúce prihlasovacie údaje aj súbory cookie sa následne prenášajú vo forme archívu ZIP pomocou rozhrania Telegram Bot API. Okrem toho je zlodej nakonfigurovaný tak, aby konkrétne extrahoval informácie o súboroch cookie prepojených s Facebookom, čo naznačuje zámer kompromitovať a manipulovať používateľské účty na škodlivé účely.

O vietnamskom spojení ďalej svedčia konvencie pomenovania repozitárov GitHub a GitLab spolu s výslovnými odkazmi na vietnamský jazyk v zdrojovom kóde. Stojí za zmienku, že všetky varianty zlodeja sú kompatibilné s prehliadačom Cốc Cốc Browser, široko používaným webovým prehliadačom vo vietnamskej komunite.

Aktéri hrozieb naďalej využívajú legitímne služby na svoje účely

V minulom roku sa objavila séria zlodejov informácií zameraných na súbory cookie Facebooku, vrátane S1deload S t ealer, MrTonyScam, NodeStealer a VietCredCare .

Tento trend sa zhoduje so zvýšeným dohľadom spoločnosti Meta v USA, kde spoločnosť čelila kritike za svoje vnímané zlyhanie pri poskytovaní pomoci obetiam napadnutých účtov. Spoločnosť Meta bola vyzvaná, aby urýchlene riešila rastúce a pretrvávajúce prípady prevzatia účtov.

Okrem týchto obáv sa zistilo, že aktéri hrozieb využívajú rôzne taktiky, ako je napríklad klonovaná webová stránka s podvádzaním hry, otrava SEO a chyba GitHub, aby oklamali potenciálnych herných hackerov, aby spustili malvér Lua. Prevádzkovatelia škodlivého softvéru využívajú najmä zraniteľnosť GitHub, ktorá umožňuje, aby nahraný súbor spojený s problémom v úložisku pretrvával, aj keď sa problém neuloží.

To znamená, že jednotlivci môžu nahrať súbor do akéhokoľvek úložiska GitHub bez zanechania stopy, s výnimkou priameho odkazu. Malvér je vybavený komunikačnými schopnosťami Command-and-Control (C2), ktoré k týmto ohrozujúcim aktivitám pridáva ďalšiu úroveň sofistikovanosti.