Snake Infostealer

Ang mga aktor ng pagbabanta ay gumagamit ng mga mensahe sa Facebook upang ipalaganap ang isang Python-based information stealer na kilala bilang Snake. Ang nakakahamak na tool na ito ay ginawa upang makuha ang sensitibong data, kabilang ang mga kredensyal. Ang mga inagaw na kredensyal ay kasunod na ipinadala sa iba't ibang mga platform, tulad ng Discord, GitHub at Telegram.

Ang mga detalye tungkol sa campaign na ito ay unang lumabas sa social media platform X noong Agosto 2023. Ang modus operandi ay kinabibilangan ng pagpapadala ng mga potensyal na hindi nakakapinsalang RAR o ZIP archive na file sa mga hindi pinaghihinalaang biktima. Sa pagbubukas ng mga file na ito, ang pagkakasunud-sunod ng impeksyon ay na-trigger. Binubuo ang proseso ng dalawang intermediary stage na gumagamit ng mga downloader – isang batch script at isang cmd script. Ang huli ay may pananagutan sa pagkuha at pag-execute ng information stealer mula sa isang GitLab repository na kinokontrol ng threat actor.

Ilang Bersyon ng Snake Infostealer na Nahukay ng mga Mananaliksik

Natukoy ng mga eksperto sa seguridad ang tatlong natatanging bersyon ng information stealer, kasama ang ikatlong variant na pinagsama-sama bilang isang executable sa pamamagitan ng PyInstaller. Kapansin-pansin, ang malware ay iniakma upang kunin ang data mula sa iba't ibang mga Web browser, kabilang ang Cốc Cốc, na nagpapahiwatig ng pagtuon sa mga target na Vietnamese.

Ang nakalap na data, na sumasaklaw sa parehong mga kredensyal at cookies, ay kasunod na ipinadala sa anyo ng isang ZIP archive gamit ang Telegram Bot API. Bukod pa rito, naka-configure ang magnanakaw na partikular na kunin ang impormasyon ng cookie na naka-link sa Facebook, na nagmumungkahi ng layunin na ikompromiso at manipulahin ang mga user account para sa mga malisyosong layunin.

Ang koneksyong Vietnamese ay higit pang pinatutunayan ng mga kumbensyon sa pagbibigay ng pangalan ng mga repositoryo ng GitHub at GitLab, kasama ang mga tahasang pagtukoy sa wikang Vietnamese sa source code. Kapansin-pansin na ang lahat ng variant ng magnanakaw ay tugma sa Cốc Cốc Browser, isang malawakang ginagamit na Web browser sa loob ng komunidad ng Vietnam.

Patuloy na Pinagsasamantalahan ng Mga Aktor ng Banta ang mga Lehitimong Serbisyo para sa Kanilang Mga Layunin

Sa nakalipas na taon, lumitaw ang isang serye ng mga magnanakaw ng impormasyon na nagta-target ng cookies sa Facebook, kabilang ang S1deload S t ealer, MrTonyScam, NodeStealer at VietCredCare .

Ang trend na ito ay kasabay ng tumaas na pagsisiyasat sa Meta sa US, kung saan ang kumpanya ay nahaharap sa kritisismo para sa napag-alaman na pagkabigo nitong tulungan ang mga biktima ng mga na-hack na account. Ang mga tawag ay ginawa para sa Meta upang matugunan ang tumataas at patuloy na mga insidente ng pagkuha ng account kaagad.

Bilang karagdagan sa mga alalahaning ito, natuklasan na ang mga aktor ng pagbabanta ay gumagamit ng iba't ibang mga taktika, tulad ng isang naka-clone na website ng cheat ng laro, pagkalason sa SEO, at isang bug sa GitHub, upang linlangin ang mga potensyal na hacker ng laro sa pagpapatupad ng Lua malware. Kapansin-pansin, sinasamantala ng mga operator ng malware ang isang kahinaan sa GitHub na nagpapahintulot sa isang na-upload na file na nauugnay sa isang isyu sa isang repository na magpatuloy, kahit na ang isyu ay hindi nai-save.

Ito ay nagpapahiwatig na ang mga indibidwal ay maaaring mag-upload ng isang file sa anumang GitHub repository nang hindi nag-iiwan ng bakas, maliban sa direktang link. Ang malware ay nilagyan ng Command-and-Control (C2) na mga kakayahan sa komunikasyon, na nagdaragdag ng isa pang layer ng pagiging sopistikado sa mga nagbabantang aktibidad na ito.