Снаке Инфостеалер

Актери претњи користе Фацебоок поруке за ширење крадљивца информација заснованог на Питхон-у познатог као Снаке. Ова злонамерна алатка је направљена да ухвати осетљиве податке, укључујући акредитиве. Украдени акредитиви се накнадно преносе на различите платформе, као што су Дисцорд, ГитХуб и Телеграм.

Детаљи у вези са овом кампањом су се првобитно појавили на платформи друштвених медија Кс у августу 2023. Модус операнди укључује слање потенцијално безопасних РАР или ЗИП архивских датотека несуђеним жртвама. Након отварања ових датотека, покреће се секвенца инфекције. Процес се састоји од две посредне фазе које користе програме за преузимање – групну скрипту и цмд скрипту. Потоњи је одговоран за преузимање и извршавање крадљиваца информација из ГитЛаб спремишта које контролише актер претње.

Истраживачи су ископали неколико верзија инфокрадице змија

Стручњаци за безбедност су идентификовали три различите верзије крадљиваца информација, при чему је трећа варијанта састављена као извршни програм преко ПиИнсталлер-а. Посебно, злонамерни софтвер је скројен за издвајање података из различитих веб претраживача, укључујући Цоц Цоц, што имплицира фокус на вијетнамске мете.

Прикупљени подаци, који обухватају и акредитиве и колачиће, се накнадно преносе у облику ЗИП архиве користећи Телеграм Бот АПИ. Поред тога, крадљивац је конфигурисан да посебно издваја информације о колачићима повезане са Фацебоок-ом, што сугерише намеру да се компромитује и манипулише корисничким налозима у злонамерне сврхе.

Вијетнамска веза је додатно доказана конвенцијама именовања ГитХуб и ГитЛаб репозиторија, заједно са експлицитним референцама на вијетнамски језик у изворном коду. Вреди напоменути да су све варијанте крадљивача компатибилне са Цоц Цоц претраживачем, широко коришћеним веб претраживачем у вијетнамској заједници.

Учесници претњи настављају да искоришћавају легитимне услуге у своје сврхе

У протеклој години појавио се низ крадљиваца информација који циљају на Фацебоок колачиће, укључујући С1делоад С т еалер, МрТониСцам, НодеСтеалер и ВиетЦредЦаре .

Овај тренд се поклапа са повећаном контролом Мете у САД, где се компанија суочила са критикама због свог уоченог неуспеха да помогне жртвама хакованих налога. Позиви су упућени Мета да се брзо позабави растућим и упорним инцидентима преузимања рачуна.

Поред ових забринутости, откривено је да актери претњи користе различите тактике, као што су клонирана веб локација за варање игара, СЕО тровање и ГитХуб грешка, како би заварали потенцијалне хакере игара да изврше Луа малвер. Посебно, оператери злонамерног софтвера искоришћавају ГитХуб рањивост која омогућава да се отпремљена датотека повезана са проблемом у спремишту задржи, чак и ако проблем није сачуван.

Ово имплицира да појединци могу да отпреме датотеку у било које ГитХуб спремиште без остављања трага, осим директне везе. Малвер је опремљен комуникационим могућностима команди и контроле (Ц2), додајући још један слој софистицираности овим претећим активностима.