ข้อมูลงูขโมย

ผู้คุกคามใช้ข้อความ Facebook เพื่อเผยแพร่ผู้ขโมยข้อมูลที่ใช้ Python ที่รู้จักกันในชื่อ Snake เครื่องมือที่เป็นอันตรายนี้สร้างขึ้นเพื่อรวบรวมข้อมูลที่ละเอียดอ่อน รวมถึงข้อมูลประจำตัว ข้อมูลประจำตัวที่ถูกขโมยจะถูกส่งไปยังแพลตฟอร์มต่างๆ เช่น Discord, GitHub และ Telegram

รายละเอียดเกี่ยวกับแคมเปญนี้ปรากฏครั้งแรกบนแพลตฟอร์มโซเชียลมีเดีย X ในเดือนสิงหาคม 2023 วิธีการดำเนินการเกี่ยวข้องกับการส่งไฟล์ RAR หรือ ZIP ที่อาจไม่เป็นอันตรายไปยังเหยื่อที่ไม่สงสัย เมื่อเปิดไฟล์เหล่านี้ ลำดับการติดไวรัสจะถูกทริกเกอร์ กระบวนการนี้ประกอบด้วยขั้นตอนตัวกลางสองขั้นตอนที่จ้างตัวดาวน์โหลด ได้แก่ สคริปต์ชุดงานและสคริปต์ cmd ส่วนหลังมีหน้าที่รับผิดชอบในการดึงและดำเนินการผู้ขโมยข้อมูลจากพื้นที่เก็บข้อมูล GitLab ที่ควบคุมโดยผู้คุกคาม

ข้อมูลงูหลายเวอร์ชันถูกค้นพบโดยนักวิจัย

ผู้เชี่ยวชาญด้านความปลอดภัยได้ระบุเวอร์ชันที่แตกต่างกันของผู้ขโมยข้อมูลสามเวอร์ชัน โดยเวอร์ชันที่สามถูกคอมไพล์เป็นไฟล์ปฏิบัติการผ่าน PyInstaller โดยเฉพาะอย่างยิ่ง มัลแวร์ได้รับการปรับแต่งให้ดึงข้อมูลจากเว็บเบราว์เซอร์ต่างๆ รวมถึง Cốc Cốc ซึ่งหมายถึงการมุ่งเน้นไปที่เป้าหมายของเวียดนาม

ข้อมูลที่รวบรวมซึ่งครอบคลุมทั้งข้อมูลรับรองและคุกกี้ จะถูกส่งต่อมาในรูปแบบของไฟล์ ZIP โดยใช้ Telegram Bot API นอกจากนี้ ผู้ขโมยยังได้รับการกำหนดค่าให้แยกข้อมูลคุกกี้ที่เชื่อมโยงกับ Facebook โดยเฉพาะ ซึ่งบ่งบอกถึงเจตนาที่จะประนีประนอมและจัดการบัญชีผู้ใช้เพื่อวัตถุประสงค์ที่เป็นอันตราย

ความเชื่อมโยงของเวียดนามมีหลักฐานเพิ่มเติมจากการตั้งชื่อแบบแผนของที่เก็บ GitHub และ GitLab พร้อมด้วยการอ้างอิงที่ชัดเจนถึงภาษาเวียดนามในซอร์สโค้ด เป็นที่น่าสังเกตว่าผู้ขโมยทุกรูปแบบสามารถใช้งานร่วมกับ Cốc Cốc Browser ซึ่งเป็นเว็บเบราว์เซอร์ที่ใช้กันอย่างแพร่หลายในชุมชนชาวเวียดนาม

ผู้คุกคามยังคงใช้ประโยชน์จากบริการที่ถูกต้องตามกฎหมายตามวัตถุประสงค์ของตน

ในปีที่ผ่านมา มีกลุ่มผู้ขโมยข้อมูลจำนวนมากที่มุ่งเป้าไปที่คุกกี้ Facebook รวมถึง S1deload S tealer , MrTonyScam, NodeStealer และ VietCredCare

แนวโน้มนี้เกิดขึ้นพร้อมกับการตรวจสอบ Meta ในสหรัฐอเมริกาที่เพิ่มมากขึ้น ซึ่งบริษัทต้องเผชิญกับคำวิพากษ์วิจารณ์ถึงความล้มเหลวในการช่วยเหลือเหยื่อของบัญชีที่ถูกแฮ็ก มีการเรียกร้องให้ Meta จัดการกับเหตุการณ์การครอบครองบัญชีที่เพิ่มขึ้นและต่อเนื่องโดยทันที

นอกเหนือจากข้อกังวลเหล่านี้แล้ว ยังพบว่าผู้คุกคามกำลังใช้กลยุทธ์ต่างๆ เช่น เว็บไซต์โกงเกมโคลน การทำ SEO เป็นพิษ และข้อบกพร่อง GitHub เพื่อหลอกลวงแฮ็กเกอร์เกมให้เรียกใช้มัลแวร์ Lua โดยเฉพาะอย่างยิ่ง ตัวดำเนินการมัลแวร์ใช้ประโยชน์จากช่องโหว่ GitHub ที่อนุญาตให้ไฟล์ที่อัปโหลดที่เกี่ยวข้องกับปัญหาในพื้นที่เก็บข้อมูลยังคงอยู่ แม้ว่าปัญหานั้นจะไม่ได้รับการบันทึกก็ตาม

นี่หมายความว่าบุคคลสามารถอัปโหลดไฟล์ไปยังพื้นที่เก็บข้อมูล GitHub ใดก็ได้โดยไม่ทิ้งร่องรอย ยกเว้นลิงก์โดยตรง มัลแวร์ดังกล่าวมาพร้อมกับความสามารถในการสื่อสาร Command-and-Control (C2) ซึ่งเพิ่มความซับซ้อนอีกชั้นให้กับกิจกรรมภัยคุกคามเหล่านี้