Infostealer gjarpërinjsh

Aktorët e kërcënimit po përdorin mesazhe në Facebook për të shpërndarë një vjedhës informacioni të bazuar në Python të njohur si Snake. Ky mjet me qëllim të keq është krijuar për të kapur të dhëna të ndjeshme, duke përfshirë kredencialet. Kredencialet e grabitura më pas transmetohen në platforma të ndryshme, si Discord, GitHub dhe Telegram.

Detajet në lidhje me këtë fushatë u shfaqën fillimisht në platformën e mediave sociale X në gusht 2023. Mënyra e funksionimit përfshin dërgimin e skedarëve arkivorë RAR ose ZIP potencialisht të padëmshëm për viktimat që nuk dyshojnë. Me hapjen e këtyre skedarëve, aktivizohet sekuenca e infeksionit. Procesi përfshin dy faza ndërmjetëse duke përdorur shkarkues - një skrip batch dhe një skrip cmd. Ky i fundit është përgjegjës për marrjen dhe ekzekutimin e vjedhësit të informacionit nga një depo GitLab e kontrolluar nga aktori i kërcënimit.

Disa versione të Infostealer Snake Zbuluar nga Hulumtuesit

Ekspertët e sigurisë kanë identifikuar tre versione të dallueshme të vjedhësit të informacionit, me variantin e tretë të përpiluar si një ekzekutues përmes PyInstaller. Veçanërisht, malware është përshtatur për të nxjerrë të dhëna nga shfletues të ndryshëm të internetit, duke përfshirë Cốc Cốc, duke nënkuptuar një fokus në objektivat vietnameze.

Të dhënat e mbledhura, duke përfshirë të dyja kredencialet dhe cookie-t, më pas transmetohen në formën e një arkivi ZIP duke përdorur Telegram Bot API. Për më tepër, vjedhësi është konfiguruar për të nxjerrë në mënyrë specifike informacionin e cookie-ve të lidhur me Facebook, duke sugjeruar një qëllim për të kompromentuar dhe manipuluar llogaritë e përdoruesve për qëllime keqdashëse.

Lidhja vietnameze dëshmohet më tej nga konventat e emërtimit të depove GitHub dhe GitLab, së bashku me referenca të qarta në gjuhën vietnameze në kodin burimor. Vlen të përmendet se të gjitha variantet e vjedhësit janë në përputhje me shfletuesin Cốc Cốc, një shfletues uebi i përdorur gjerësisht brenda komunitetit vietnamez.

Aktorët e kërcënimit vazhdojnë të shfrytëzojnë shërbimet legjitime për qëllimet e tyre

Në vitin e kaluar, janë shfaqur një seri vjedhësish informacioni që synojnë cookie-t në Facebook, duke përfshirë S1deload S t ealer, MrTonyScam, NodeStealer dhe VietCredCare .

Ky trend përkon me rritjen e kontrollit të Meta-s në SHBA, ku kompania është përballur me kritika për dështimin e saj të perceptuar për të ndihmuar viktimat e llogarive të hakuara. Janë bërë thirrje që Meta të adresojë menjëherë incidentet në rritje dhe të vazhdueshme të marrjes së llogarive.

Përveç këtyre shqetësimeve, është zbuluar se aktorët e kërcënimit po përdorin taktika të ndryshme, të tilla si një faqe interneti mashtrimi me lojëra të klonuara, helmimi me SEO dhe një gabim i GitHub, për të mashtruar hakerat e mundshëm të lojërave për të ekzekutuar malware Lua. Veçanërisht, operatorët e malware shfrytëzojnë një cenueshmëri të GitHub që lejon që një skedar i ngarkuar i lidhur me një problem në një depo të vazhdojë, edhe nëse problemi nuk ruhet.

Kjo nënkupton që individët mund të ngarkojnë një skedar në çdo depo GitHub pa lënë gjurmë, përveç lidhjes direkte. Malware është i pajisur me aftësi komunikimi Command-and-Control (C2), duke shtuar një shtresë tjetër të sofistikimit në këto aktivitete kërcënuese.