Snake Infostealer 滥用 Facebook 消息

威胁行为者正在利用 Facebook 消息传播名为 Snake 的基于 Python 的数据窃取工具，该工具旨在捕获敏感信息和凭证。 Cybereason 研究员 Kotaro Ogino 表示，收集到的凭证被发送到各种平台，如 Discord、GitHub 和 Telegram。该活动的详细信息于 2023 年 8 月出现在社交媒体平台 X 上，涉及分发看似无害的 RAR 或 ZIP 文件。打开后，这些文件会触发感染序列。

蛇的操作方法

该过程包括两个中间下载程序——一个批处理脚本和一个cmd脚本。后者负责从威胁行为者控制的 GitLab 存储库下载并执行信息窃取程序。 Cybereason 发现了该窃取程序的三个变体，其中第三个变体是由 PyInstaller 组装的可执行文件。该恶意软件针对来自各种网络浏览器的数据，重点关注 Coc Coc，这表明其可能源自越南。

被盗数据由凭证和 cookie 组成，通过 Telegram Bot API 以 ZIP 存档形式泄露。窃取者还被编程为提取特定于 Facebook 的 cookie 信息，这表明其意图出于恶意目的劫持帐户。 GitHub 和 GitLab 存储库的命名约定以及源代码中对越南语的引用强化了越南语联系。

Ogino 指出，所有变体都支持越南社区广泛使用的 Coc Coc 浏览器。值得注意的是，在过去的一年中，出现了多个针对 Facebook cookie 的信息窃取程序，包括 S1deload Stealer、MrTonyScam、NodeStealer 和 VietCredCare。

这一进展恰逢 Meta 在美国因没有充分协助账户被黑受害者而面临批评。人们呼吁 Meta 立即采取行动，应对账户接管事件的明显增加。