Snake Infostealer misbruker Facebook-meldinger

Trusselaktører bruker Facebook-meldinger for å spre et Python-basert datastjelingsverktøy kalt Snake, designet for å fange opp sensitiv informasjon og legitimasjon. I følge Cybereason-forsker Kotaro Ogino sendes den innhøstede legitimasjonen til forskjellige plattformer som Discord, GitHub og Telegram. Kampanjedetaljene dukket opp på den sosiale medieplattformen X i august 2023, og involverte distribusjon av tilsynelatende harmløse RAR- eller ZIP-filer. Ved åpning utløser disse filene en infeksjonssekvens.

Snakes metode for operasjon

Prosessen inkluderer to mellomliggende nedlastere – et batchskript og et cmd-skript. Sistnevnte er ansvarlig for å laste ned og utføre informasjonstyveren fra et GitLab-depot kontrollert av trusselaktøren. Cybereason identifiserte tre varianter av stjeleren, hvor den tredje var en kjørbar sammensatt av PyInstaller. Skadevaren retter seg mot data fra ulike nettlesere, med fokus på Coc Coc, som indikerer en potensiell vietnamesisk opprinnelse.

De stjålne dataene, bestående av legitimasjon og informasjonskapsler, eksfiltreres som et ZIP-arkiv gjennom Telegram Bot API. Styveren er også programmert til å trekke ut informasjonskapselinformasjon som er spesifikk for Facebook, noe som tyder på en intensjon om å kapre kontoer for ondsinnede formål. Den vietnamesiske forbindelsen forsterkes av navnekonvensjonen til GitHub og GitLab-lagre og referanser til det vietnamesiske språket i kildekoden.

Ogino påpekte at alle varianter støtter Coc Coc Browser, mye brukt av det vietnamesiske samfunnet. Spesielt i løpet av det siste året har det dukket opp flere informasjonstyvere rettet mot Facebook-informasjonskapsler, inkludert S1deload Stealer, MrTonyScam, NodeStealer og VietCredCare.

Denne utviklingen faller sammen med at Meta møter kritikk i USA for ikke å hjelpe ofre for hackede kontoer tilstrekkelig. Meta har blitt bedt om å iverksette umiddelbare tiltak som svar på en merkbar økning i kontoovertakelseshendelser.