Snake Infostealer

Зловмисники використовують повідомлення у Facebook для розповсюдження викрадача інформації на основі Python, відомого як Snake. Цей шкідливий інструмент створений для захоплення конфіденційних даних, зокрема облікових даних. Викрадені облікові дані згодом передаються на різні платформи, такі як Discord, GitHub і Telegram.

Подробиці щодо цієї кампанії вперше з’явилися на платформі соціальних мереж X у серпні 2023 року. Метод дії передбачає надсилання потенційно нешкідливих архівних файлів RAR або ZIP нічого не підозрюючим жертвам. Після відкриття цих файлів запускається послідовність зараження. Процес складається з двох проміжних етапів із залученням завантажувачів – пакетного сценарію та сценарію cmd. Останній відповідає за отримання та виконання викрадача інформації з репозиторію GitLab, контрольованого загрозою.

Кілька версій зміїного інфокрадію, знайденого дослідниками

Експерти з безпеки визначили три різні версії викрадача інформації, третій варіант скомпільовано як виконуваний файл через PyInstaller. Примітно, що зловмисне програмне забезпечення призначене для отримання даних із різних веб-браузерів, у тому числі Cốc Cốc, що передбачає зосередження на в’єтнамських цілях.

Зібрані дані, включаючи облікові дані та файли cookie, згодом передаються у формі ZIP-архіву за допомогою API Telegram Bot. Крім того, викрадач налаштований спеціально витягувати інформацію cookie, пов’язану з Facebook, що свідчить про намір скомпрометувати та маніпулювати обліковими записами користувачів із зловмисною метою.

В’єтнамський зв’язок додатково підтверджується правилами іменування репозиторіїв GitHub і GitLab, а також явними посиланнями на в’єтнамську мову у вихідному коді. Варто зазначити, що всі варіанти крадіжки сумісні з Cốc Cốc Browser, широко використовуваним веб-браузером у в’єтнамській спільноті.

Зловмисники продовжують використовувати законні служби для своїх цілей

Минулого року з’явилася низка викрадачів інформації, націлених на файли cookie Facebook, зокрема S1deload S t ealer, MrTonyScam, NodeStealer і VietCredCare .

Ця тенденція збігається з посиленою перевіркою Meta в США, де компанія зіткнулася з критикою за її сприйману неспроможність допомогти жертвам зламаних облікових записів. Було зроблено заклики до Meta негайно вирішувати випадки поглинання облікових записів, що почастішають і постійні.

На додаток до цих побоювань було виявлено, що зловмисники використовують різні тактики, такі як клонований веб-сайт для шахрайства гри, отруєння SEO та помилка GitHub, щоб обманом змусити потенційних хакерів ігор запустити зловмисне програмне забезпечення Lua. Зокрема, оператори зловмисного програмного забезпечення використовують уразливість GitHub, яка дозволяє завантаженому файлу, пов’язаному з проблемою, зберігатися в сховищі, навіть якщо проблему не збережено.

Це означає, що люди можуть завантажувати файл у будь-яке сховище GitHub, не залишаючи слідів, за винятком прямого посилання. Зловмисне програмне забезпечення оснащене комунікаційними можливостями Command-and-Control (C2), що додає ще один рівень складності цим загрозливим діям.