蛇信息窃取者

威胁行为者正在利用 Facebook 消息传播名为 Snake 的基于 Python 的信息窃取程序。该恶意工具旨在捕获敏感数据，包括凭据。被盗的凭证随后被传输到各种平台，例如 Discord、GitHub 和 Telegram。

有关该活动的详细信息最初于 2023 年 8 月出现在社交媒体平台 X 上。其作案手法包括向毫无戒心的受害者发送可能无害的 RAR 或 ZIP 存档文件。打开这些文件后，就会触发感染序列。该过程包括两个使用下载程序的中间阶段 - 批处理脚本和 cmd 脚本。后者负责从威胁行为者控制的 GitLab 存储库中获取并执行信息窃取程序。

研究人员发现的 Snake Infostealer 的几个版本

安全专家已经确定了该信息窃取程序的三个不同版本，其中第三个变体通过 PyInstaller 编译为可执行文件。值得注意的是，该恶意软件专门用于从各种网络浏览器（包括 Cốc Cốc）中提取数据，这意味着重点针对越南目标。

随后使用 Telegram Bot API 以 ZIP 存档的形式传输收集到的数据（包括凭据和 cookie）。此外，窃取程序还被配置为专门提取与 Facebook 链接的 cookie 信息，表明其意图出于恶意目的危害和操纵用户帐户。

GitHub 和 GitLab 存储库的命名约定以及源代码中对越南语的明确引用进一步证明了越南语的联系。值得注意的是，该窃取程序的所有变体都与 Cốc Cốc 浏览器兼容，Cốc Cốc 浏览器是越南社区中广泛使用的 Web 浏览器。

威胁行为者继续利用合法服务来达到其目的

去年，一系列针对 Facebook cookie 的信息窃取程序浮出水面，包括S1deload S tealer 、 MrTonyScam、 NodeStealer和VietCredCare 。

这一趋势与 Meta 在美国受到越来越多的审查相吻合，该公司因未能帮助被黑帐户的受害者而受到批评。人们呼吁 Meta 立即解决不断增加且持续存在的账户接管事件。

除了这些担忧之外，我们还发现威胁行为者还采用各种策略，例如克隆游戏作弊网站、SEO 中毒和 GitHub 漏洞，来欺骗潜在的游戏黑客执行 Lua 恶意软件。值得注意的是，恶意软件操作者利用了 GitHub 漏洞，该漏洞允许与存储库中的问题相关的上传文件持续存在，即使问题未保存也是如此。

这意味着个人可以将文件上传到任何 GitHub 存储库而不留下任何痕迹，直接链接除外。该恶意软件配备了命令与控制 (C2) 通信功能，为这些威胁活动增添了另一层复杂性。