Kẻ đánh cắp thông tin về rắn

Các tác nhân đe dọa đang sử dụng tin nhắn Facebook để phổ biến công cụ đánh cắp thông tin dựa trên Python có tên Snake. Công cụ độc hại này được tạo ra để thu thập dữ liệu nhạy cảm, bao gồm cả thông tin xác thực. Thông tin đăng nhập bị đánh cắp sau đó được truyền đến nhiều nền tảng khác nhau, chẳng hạn như Discord, GitHub và Telegram.

Thông tin chi tiết về chiến dịch này lần đầu tiên xuất hiện trên nền tảng truyền thông xã hội X vào tháng 8 năm 2023. Phương thức hoạt động liên quan đến việc gửi các tệp lưu trữ RAR hoặc ZIP có khả năng vô hại cho những nạn nhân không nghi ngờ. Khi mở các tệp này, trình tự lây nhiễm sẽ được kích hoạt. Quá trình này bao gồm hai giai đoạn trung gian sử dụng trình tải xuống – tập lệnh bó và tập lệnh cmd. Sau này chịu trách nhiệm tìm nạp và thực thi kẻ đánh cắp thông tin từ kho lưu trữ GitLab do tác nhân đe dọa kiểm soát.

Một số phiên bản của công cụ đánh cắp thông tin về rắn được các nhà nghiên cứu khai quật

Các chuyên gia bảo mật đã xác định được ba phiên bản riêng biệt của kẻ đánh cắp thông tin, trong đó biến thể thứ ba được biên dịch dưới dạng tệp thực thi thông qua PyInstaller. Đáng chú ý, phần mềm độc hại được thiết kế để trích xuất dữ liệu từ nhiều trình duyệt Web khác nhau, bao gồm cả Cốc Cốc, nhằm mục đích tập trung vào các mục tiêu Việt Nam.

Dữ liệu được thu thập, bao gồm cả thông tin xác thực và cookie, sau đó được truyền dưới dạng kho lưu trữ ZIP bằng API Telegram Bot. Ngoài ra, kẻ đánh cắp được định cấu hình để trích xuất cụ thể thông tin cookie được liên kết với Facebook, gợi ý ý định xâm phạm và thao túng tài khoản người dùng vì mục đích xấu.

Mối liên hệ tiếng Việt còn được chứng minh rõ ràng hơn qua quy ước đặt tên của kho GitHub và GitLab, cùng với những tham chiếu rõ ràng đến ngôn ngữ tiếng Việt trong mã nguồn. Điều đáng chú ý là tất cả các biến thể của kẻ đánh cắp đều tương thích với Trình duyệt Cốc Cốc, một trình duyệt Web được sử dụng rộng rãi trong cộng đồng người Việt.

Những kẻ đe dọa tiếp tục khai thác các dịch vụ hợp pháp cho mục đích của chúng

Trong năm qua, hàng loạt kẻ đánh cắp thông tin nhắm vào cookie Facebook đã xuất hiện, bao gồm S1deload S stealer , MrTonyScam, NodeStealer và VietCredCare .

Xu hướng này trùng hợp với sự giám sát ngày càng tăng đối với Meta ở Mỹ, nơi công ty phải đối mặt với những lời chỉ trích vì cho rằng đã thất bại trong việc hỗ trợ nạn nhân của các tài khoản bị hack. Meta đã đưa ra lời kêu gọi giải quyết kịp thời các sự cố chiếm đoạt tài khoản ngày càng gia tăng và dai dẳng.

Ngoài những lo ngại này, người ta còn phát hiện ra rằng các tác nhân đe dọa đang sử dụng nhiều chiến thuật khác nhau, chẳng hạn như trang web gian lận trò chơi nhân bản, đầu độc SEO và lỗi GitHub, để đánh lừa các tin tặc trò chơi tiềm năng thực thi phần mềm độc hại Lua. Đáng chú ý, những kẻ khai thác phần mềm độc hại khai thác lỗ hổng GitHub cho phép tệp được tải lên có liên quan đến sự cố trên kho lưu trữ vẫn tồn tại, ngay cả khi sự cố không được lưu.

Điều này ngụ ý rằng các cá nhân có thể tải tệp lên bất kỳ kho lưu trữ GitHub nào mà không để lại dấu vết, ngoại trừ liên kết trực tiếp. Phần mềm độc hại được trang bị khả năng giao tiếp Lệnh và Kiểm soát (C2), tăng thêm một lớp tinh vi khác cho các hoạt động đe dọa này.