„Snake Infostealer“ piktnaudžiauja „Facebook“ žinutėmis

Grėsmės veikėjai naudoja „Facebook“ žinutes, kad platintų „Python“ pagrindu sukurtą duomenų vagystės įrankį „Snake“, skirtą slaptai informacijai ir kredencialams užfiksuoti. Pasak „Cybereason“ tyrėjo Kotaro Ogino, surinkti kredencialai siunčiami įvairioms platformoms, tokioms kaip „Discord“, „GitHub“ ir „Telegram“. Kampanijos detalės pasirodė socialinės žiniasklaidos platformoje X 2023 m. rugpjūčio mėn., apimančios akivaizdžiai nekenksmingų RAR arba ZIP failų platinimą. Atidarius šiuos failus, suaktyvinama užkrėtimo seka.

Gyvatės veikimo metodas

Procesas apima du tarpinius atsisiuntimo įrenginius - paketinį scenarijų ir cmd scenarijų. Pastarasis yra atsakingas už informacijos vagystės atsisiuntimą ir vykdymą iš „GitLab“ saugyklos, kurią kontroliuoja grėsmės veikėjas. „Cybereason“ nustatė tris vagystės variantus, iš kurių trečiasis yra vykdomasis failas, kurį surinko „PyInstaller“. Kenkėjiška programa nukreipta į duomenis iš įvairių interneto naršyklių, daugiausia dėmesio skiriant Coc Coc, nurodant galimą vietnamiečių kilmę.

Pavogti duomenys, sudaryti iš kredencialų ir slapukų, yra išfiltruojami kaip ZIP archyvas per Telegram Bot API. Vagystė taip pat užprogramuota išgauti „Facebook“ būdingą slapukų informaciją, o tai rodo ketinimą užgrobti paskyras kenkėjiškais tikslais. Vietnamietišką ryšį sustiprina „GitHub“ ir „GitLab“ saugyklų pavadinimų taisyklė ir nuorodos į vietnamiečių kalbą šaltinio kode.

Ogino atkreipė dėmesį, kad visi variantai palaiko Coc Coc Browser, plačiai naudojamą Vietnamo bendruomenės. Pažymėtina, kad per pastaruosius metus atsirado keletas informacijos vagysčių, nukreiptų į „Facebook“ slapukus, įskaitant „S1deload Stealer“, „MrTonyScam“, „NodeStealer“ ir „VietCredCare“.

Šis įvykis sutampa su tuo, kad Meta JAV sulaukė kritikos dėl netinkamos pagalbos nulaužtų paskyrų aukoms. „Meta“ buvo raginama nedelsiant imtis veiksmų, reaguodama į pastebimą paskyros perėmimo incidentų padidėjimą.