蛇資訊竊取者

威脅行為者正在利用 Facebook 訊息傳播名為 Snake 的基於 Python 的訊息竊取程式。該惡意工具旨在捕獲敏感數據，包括憑證。被盜的憑證隨後被傳輸到各種平台，例如 Discord、GitHub 和 Telegram。

有關該活動的詳細資訊最初於 2023 年 8 月出現在社交媒體平台 X 上。其作案手法包括向毫無戒心的受害者發送可能無害的 RAR 或 ZIP 存檔文件。打開這些檔案後，就會觸發感染序列。這個過程包括兩個使用下載程式的中間階段 - 批次腳本和 cmd 腳本。後者負責從威脅行為者控制的 GitLab 儲存庫中取得並執行資訊竊取程式。

研究人員發現的 Snake Infostealer 的幾個版本

安全專家已經確定了該資訊竊取程式的三個不同版本，其中第三個變體透過 PyInstaller 編譯為可執行檔。值得注意的是，該惡意軟體專門用於從各種網頁瀏覽器（包括 Cốc Cốc）中提取數據，這意味著重點針對越南目標。

隨後使用 Telegram Bot API 以 ZIP 檔案的形式傳輸收集到的資料（包括憑證和 cookie）。此外，竊取程式還被配置為專門提取與 Facebook 連結的 cookie 訊息，表明其意圖出於惡意目的危害和操縱用戶帳戶。

GitHub 和 GitLab 儲存庫的命名約定以及原始程式碼中對越南語的明確引用進一步證明了越南語的聯繫。值得注意的是，該竊取程式的所有變體都與 Cốc Cốc 瀏覽器相容，Cốc Cốc 瀏覽器是越南社群中廣泛使用的 Web 瀏覽器。

威脅行為者繼續利用合法服務來達到其目的

去年，一系列針對 Facebook cookie 的資訊竊取程式浮出水面，包括S1deload S tealer 、 MrTonyScam、 NodeStealer和VietCredCare 。

這一趨勢與 Meta 在美國受到越來越多的審查相吻合，該公司因未能幫助被駭帳戶的受害者而受到批評。人們呼籲 Meta 立即解決不斷增加且持續存在的帳戶接管事件。

除了這些擔憂之外，我們還發現威脅行為者還採用各種策略，例如克隆遊戲作弊網站、SEO 中毒和 GitHub 漏洞，來欺騙潛在的遊戲駭客執行 Lua 惡意軟體。值得注意的是，惡意軟體操作者利用了 GitHub 漏洞，該漏洞允許與儲存庫中的問題相關的上傳檔案持續存在，即使問題未保存也是如此。

這意味著個人可以將文件上傳到任何 GitHub 儲存庫而不留下任何痕跡，直接連結除外。該惡意軟體配備了命令與控制 (C2) 通訊功能，為這些威脅活動增添了另一層複雜性。