Snake Infostealer missbrukar Facebook-meddelanden

Hotaktörer använder Facebook-meddelanden för att sprida ett Python-baserat datastöldverktyg vid namn Snake, utformat för att fånga känslig information och referenser. Enligt Cybereason-forskaren Kotaro Ogino skickas de skördade referenserna till olika plattformar som Discord, GitHub och Telegram. Kampanjdetaljerna dök upp på sociala medieplattformar X i augusti 2023 och involverade distribution av till synes ofarliga RAR- eller ZIP-filer. Vid öppning utlöser dessa filer en infektionssekvens.

Snakes operationsmetod

Processen inkluderar två mellanliggande nedladdare – ett batchskript och ett cmd-skript. Den senare ansvarar för att ladda ner och köra informationsstjälaren från ett GitLab-förråd som kontrolleras av hotaktören. Cybereason identifierade tre varianter av stjälaren, där den tredje var en körbar fil som satts ihop av PyInstaller. Skadlig programvara riktar sig mot data från olika webbläsare, med fokus på Coc Coc, vilket indikerar ett potentiellt vietnamesiskt ursprung.

Den stulna informationen, bestående av referenser och cookies, exfiltreras som ett ZIP-arkiv genom Telegram Bot API. Stjälaren är också programmerad att extrahera cookieinformation som är specifik för Facebook, vilket tyder på en avsikt att kapa konton i skadliga syften. Den vietnamesiska kopplingen förstärks av namnkonventionen för GitHub- och GitLab-förråd och referenser till det vietnamesiska språket i källkoden.

Ogino påpekade att alla varianter stöder Coc Coc Browser, som ofta används av det vietnamesiska samhället. Särskilt under det senaste året har flera informationsstjälare som riktar sig till Facebook-cookies dykt upp, inklusive S1deload Stealer, MrTonyScam, NodeStealer och VietCredCare.

Denna utveckling sammanfaller med att Meta utsätts för kritik i USA för att inte adekvat assistera offer för hackade konton. Uppmaningar har gjorts för Meta att vidta omedelbara åtgärder som svar på en märkbar ökning av incidenter med kontouppköp.