Yılan Bilgi Hırsızı

Tehdit aktörleri, Snake olarak bilinen Python tabanlı bir bilgi hırsızını yaymak için Facebook mesajlarını kullanıyor. Bu kötü amaçlı araç, kimlik bilgileri de dahil olmak üzere hassas verileri yakalamak için tasarlanmıştır. Çalınan kimlik bilgileri daha sonra Discord, GitHub ve Telegram gibi çeşitli platformlara aktarılıyor.

Bu kampanyayla ilgili ayrıntılar ilk olarak Ağustos 2023'te sosyal medya platformu X'te ortaya çıktı. Yöntem, potansiyel olarak zararsız RAR veya ZIP arşiv dosyalarının şüphelenmeyen kurbanlara gönderilmesini içeriyor. Bu dosyaları açtıktan sonra enfeksiyon dizisi tetiklenir. Süreç, indiricileri kullanan iki ara aşamadan oluşur: toplu komut dosyası ve cmd komut dosyası. İkincisi, tehdit aktörü tarafından kontrol edilen bir GitLab deposundan bilgi çalan yazılımın getirilmesinden ve yürütülmesinden sorumludur.

Araştırmacılar Tarafından Ortaya Çıkarılan Yılan Bilgi Hırsızının Çeşitli Versiyonları

Güvenlik uzmanları, bilgi çalan yazılımın üç farklı versiyonunu belirledi; üçüncüsü ise PyInstaller aracılığıyla çalıştırılabilir olarak derlendi. Özellikle, kötü amaçlı yazılımın, Cốc Cốc dahil olmak üzere çeşitli Web tarayıcılarından veri çıkaracak şekilde özel olarak tasarlanması, Vietnam hedeflerine odaklanıldığını ima ediyor.

Hem kimlik bilgilerini hem de çerezleri kapsayan toplanan veriler daha sonra Telegram Bot API kullanılarak ZIP arşivi biçiminde iletilir. Ek olarak, hırsızın özellikle Facebook'a bağlı çerez bilgilerini çıkaracak şekilde yapılandırılmış olması, kullanıcı hesaplarını kötü amaçlarla ele geçirme ve manipüle etme niyetinde olduğunu gösteriyor.

Vietnamca bağlantısı, GitHub ve GitLab depolarının adlandırma kuralları ve kaynak kodunda Vietnam diline yapılan açık referanslarla da kanıtlanmaktadır. Hırsızın tüm çeşitlerinin, Vietnam topluluğu içinde yaygın olarak kullanılan bir Web tarayıcısı olan Cốc Cốc Tarayıcısı ile uyumlu olduğunu belirtmekte fayda var.

Tehdit Aktörleri Meşru Hizmetlerden Kendi Amaçları İçin Yararlanmaya Devam Ediyor

Geçtiğimiz yıl, S1deload Stealer , MrTonyScam, NodeStealer ve VietCredCare dahil olmak üzere Facebook çerezlerini hedef alan bir dizi bilgi hırsızı ortaya çıktı.

Bu eğilim, şirketin saldırıya uğramış hesapların kurbanlarına yardım etme konusundaki başarısızlığı nedeniyle eleştirilere maruz kaldığı ABD'de Meta'nın artan incelemesiyle örtüşüyor. Artan ve ısrarcı hesap ele geçirme olaylarını derhal ele alması için Meta'ya çağrılar yapıldı.

Bu endişelere ek olarak, tehdit aktörlerinin, potansiyel oyun korsanlarını Lua kötü amaçlı yazılımını çalıştırmaya ikna etmek için klonlanmış oyun hilesi web sitesi, SEO zehirlenmesi ve GitHub hatası gibi çeşitli taktikler kullandıkları da keşfedildi. Özellikle, kötü amaçlı yazılım operatörleri, bir depodaki bir sorunla ilişkili yüklenen bir dosyanın, sorun kaydedilmese bile devam etmesine izin veren bir GitHub güvenlik açığından yararlanıyor.

Bu, bireylerin doğrudan bağlantı dışında herhangi bir GitHub deposuna iz bırakmadan bir dosya yükleyebileceği anlamına gelir. Kötü amaçlı yazılım, Komuta ve Kontrol (C2) iletişim yetenekleriyle donatılmıştır ve bu tehdit edici faaliyetlere başka bir karmaşıklık katmanı daha ekler.