Ο Snake Infostealer καταχράται τα μηνύματα στο Facebook

Οι φορείς απειλών χρησιμοποιούν μηνύματα στο Facebook για να διαδώσουν ένα εργαλείο κλοπής δεδομένων που βασίζεται σε Python με το όνομα Snake, σχεδιασμένο να συλλαμβάνει ευαίσθητες πληροφορίες και διαπιστευτήρια. Σύμφωνα με τον ερευνητή του Cybereason, Kotaro Ogino, τα διαπιστευτήρια που συγκεντρώθηκαν αποστέλλονται σε διάφορες πλατφόρμες όπως το Discord, το GitHub και το Telegram. Οι λεπτομέρειες της καμπάνιας εμφανίστηκαν στην πλατφόρμα κοινωνικών μέσων X τον Αύγουστο του 2023, περιλαμβάνοντας τη διανομή φαινομενικά αβλαβών αρχείων RAR ή ZIP. Κατά το άνοιγμα, αυτά τα αρχεία ενεργοποιούν μια ακολουθία μόλυνσης.

Μέθοδος Λειτουργίας του Snake

Η διαδικασία περιλαμβάνει δύο ενδιάμεσους προγράμματα λήψης – ένα σενάριο δέσμης και ένα σενάριο cmd. Ο τελευταίος είναι υπεύθυνος για τη λήψη και την εκτέλεση του προγράμματος κλοπής πληροφοριών από ένα αποθετήριο GitLab που ελέγχεται από τον παράγοντα απειλής. Η Cybereason εντόπισε τρεις παραλλαγές του stealer, με την τρίτη να είναι ένα εκτελέσιμο αρχείο που συναρμολογήθηκε από τον PyInstaller. Το κακόβουλο λογισμικό στοχεύει δεδομένα από διάφορα προγράμματα περιήγησης ιστού, με έμφαση στο Coc Coc, υποδεικνύοντας μια πιθανή βιετναμέζικη προέλευση.

Τα κλεμμένα δεδομένα, που αποτελούνται από διαπιστευτήρια και cookies, εξορύσσονται ως αρχείο ZIP μέσω του Telegram Bot API. Ο κλέφτης είναι επίσης προγραμματισμένος να εξάγει πληροφορίες cookie ειδικά για το Facebook, υποδηλώνοντας την πρόθεση κλοπής λογαριασμών για κακόβουλους σκοπούς. Η βιετναμέζικη σύνδεση ενισχύεται από τη σύμβαση ονομασίας των αποθετηρίων GitHub και GitLab και τις αναφορές στη βιετναμέζικη γλώσσα στον πηγαίο κώδικα.

Ο Ogino επεσήμανε ότι όλες οι παραλλαγές υποστηρίζουν το πρόγραμμα περιήγησης Coc Coc, το οποίο χρησιμοποιείται ευρέως από τη βιετναμέζικη κοινότητα. Αξίζει να σημειωθεί ότι τον περασμένο χρόνο, έχουν εμφανιστεί αρκετοί κλέφτες πληροφοριών που στοχεύουν τα cookies του Facebook, συμπεριλαμβανομένων των S1deload Stealer, MrTonyScam, NodeStealer και VietCredCare.

Αυτή η εξέλιξη συμπίπτει με τη Meta που αντιμετωπίζει κριτική στις ΗΠΑ επειδή δεν βοηθά επαρκώς τα θύματα των χακαρισμένων λογαριασμών. Έχουν γίνει εκκλήσεις προς τη Meta να λάβει άμεσα μέτρα ως απάντηση σε μια αξιοσημείωτη αύξηση των περιστατικών εξαγοράς λογαριασμού.