Snake Infostealer

Akterji groženj uporabljajo Facebook sporočila za širjenje krajca informacij, ki temelji na Pythonu, znanega kot Snake. To zlonamerno orodje je ustvarjeno za zajemanje občutljivih podatkov, vključno s poverilnicami. Ukradene poverilnice se nato prenesejo na različne platforme, kot so Discord, GitHub in Telegram.

Podrobnosti o tej kampanji so se sprva pojavile na platformi družbenih medijev X avgusta 2023. Način delovanja vključuje pošiljanje potencialno neškodljivih arhivskih datotek RAR ali ZIP nič hudega slutečim žrtvam. Ob odpiranju teh datotek se sproži zaporedje okužb. Postopek obsega dve vmesni stopnji, ki uporabljata prenosnike – paketni skript in skript cmd. Slednji je odgovoren za pridobivanje in izvajanje kradljivca informacij iz repozitorija GitLab, ki ga nadzoruje akter grožnje.

Raziskovalci so odkrili več različic kačjega infostealerja

Varnostni strokovnjaki so identificirali tri različne različice kradljivca informacij, pri čemer je tretja različica prevedena kot izvršljiva datoteka s programom PyInstaller. Predvsem je zlonamerna programska oprema prilagojena za pridobivanje podatkov iz različnih spletnih brskalnikov, vključno s Cốc Cốc, kar pomeni osredotočenost na vietnamske cilje.

Zbrani podatki, ki vključujejo tako poverilnice kot piškotke, se nato prenesejo v obliki arhiva ZIP z uporabo API-ja Telegram Bot. Poleg tega je krajec konfiguriran tako, da posebej izvleče podatke o piškotkih, povezanih s Facebookom, kar kaže na namen ogrožanja in manipulacije uporabniških računov za zlonamerne namene.

Vietnamsko povezavo dodatno dokazujejo pravila o poimenovanju repozitorijev GitHub in GitLab, skupaj z izrecnimi navedbami vietnamskega jezika v izvorni kodi. Treba je omeniti, da so vse različice kradljivca združljive z brskalnikom Cốc Cốc, široko uporabljanim spletnim brskalnikom v vietnamski skupnosti.

Akterji groženj še naprej izkoriščajo zakonite storitve za svoje namene

V preteklem letu se je pojavila vrsta krajcev informacij, ki ciljajo na piškotke Facebook, vključno s S1deload S t ealer, MrTonyScam, NodeStealer in VietCredCare .

Ta trend sovpada s povečanim nadzorom Mete v ZDA, kjer se je podjetje soočilo s kritikami zaradi zaznanega neuspeha pri pomoči žrtvam vdora v račune. Meta je bila pozvana, naj nemudoma obravnava naraščajoče in vztrajne primere prevzemov računov.

Poleg teh pomislekov je bilo odkrito, da akterji groženj uporabljajo različne taktike, kot so klonirana spletna stran za goljufanje iger, zastrupitev SEO in hrošč GitHub, da potencialne hekerje iger zavedejo v izvajanje zlonamerne programske opreme Lua. Predvsem operaterji zlonamerne programske opreme izkoriščajo ranljivost GitHub, ki omogoča, da naložena datoteka, povezana s težavo v skladišču, obstaja, tudi če težava ni shranjena.

To pomeni, da lahko posamezniki naložijo datoteko v kateri koli repozitorij GitHub, ne da bi zapustili sled, razen neposredne povezave. Zlonamerna programska oprema je opremljena s komunikacijskimi zmogljivostmi Command-and-Control (C2), kar tem grozečim dejavnostim doda še eno plast prefinjenosti.