Snake Infostealer

Hotaktörer använder Facebook-meddelanden för att sprida en Python-baserad informationsstjäl, känd som Snake. Detta skadliga verktyg är utformat för att fånga känslig data, inklusive referenser. De stöldrade referenserna överförs sedan till olika plattformar, såsom Discord, GitHub och Telegram.

Detaljer om denna kampanj dök först upp på den sociala medieplattformen X i augusti 2023. Arbetssättet går ut på att skicka potentiellt ofarliga RAR- eller ZIP-arkivfiler till intet ont anande offer. När dessa filer öppnas utlöses infektionssekvensen. Processen består av två mellansteg som använder nedladdare – ett batchskript och ett cmd-skript. Den sistnämnda ansvarar för att hämta och utföra informationsstjälaren från ett GitLab-förråd som kontrolleras av hotaktören.

Flera versioner av Snake Infostealer som grävts fram av forskare

Säkerhetsexperter har identifierat tre distinkta versioner av informationsstjälaren, med den tredje varianten kompilerad som en körbar genom PyInstaller. Speciellt är skadlig programvara skräddarsydd för att extrahera data från olika webbläsare, inklusive Cốc Cốc, vilket innebär fokus på vietnamesiska mål.

Den insamlade informationen, som omfattar både inloggningsuppgifter och cookies, överförs därefter i form av ett ZIP-arkiv med hjälp av Telegram Bot API. Dessutom är stjälaren konfigurerad att specifikt extrahera cookieinformation kopplad till Facebook, vilket tyder på en avsikt att kompromissa och manipulera användarkonton för skadliga syften.

Den vietnamesiska kopplingen bevisas ytterligare av namnkonventionerna för GitHub- och GitLab-förråden, tillsammans med explicita referenser till det vietnamesiska språket i källkoden. Det är värt att notera att alla varianter av stealern är kompatibla med Cốc Cốc Browser, en allmänt använd webbläsare inom det vietnamesiska samhället.

Hotaktörer fortsätter att utnyttja legitima tjänster för sina syften

Under det senaste året har en rad informationsstöldare som riktar sig till Facebook-cookies dykt upp, inklusive S1deload S t ealer, MrTonyScam, NodeStealer och VietCredCare .

Denna trend sammanfaller med ökad granskning av Meta i USA, där företaget har mött kritik för sitt upplevda misslyckande med att hjälpa offer för hackade konton. Uppmaningar har gjorts för Meta att ta itu med de ökande och ihållande incidenterna med kontoövertaganden omgående.

Utöver dessa farhågor har det upptäckts att hotaktörer använder olika taktiker, såsom en klonad spelfuskwebbplats, SEO-förgiftning och en GitHub-bugg, för att lura potentiella spelhackare att köra Lua skadlig kod. Noterbart är att operatörerna av skadlig programvara utnyttjar en GitHub-sårbarhet som gör att en uppladdad fil associerad med ett problem på ett arkiv kvarstår, även om problemet inte sparas.

Detta innebär att individer kan ladda upp en fil till vilket GitHub-förråd som helst utan att lämna ett spår, förutom direktlänken. Skadlig programvara är utrustad med Command-and-Control (C2) kommunikationsfunktioner, vilket lägger till ytterligare ett lager av sofistikering till dessa hotfulla aktiviteter.