Snake Infostealer 濫用 Facebook 訊息

威脅行為者正在利用 Facebook 訊息傳播名為 Snake 的基於 Python 的資料竊取工具，該工具旨在擷取敏感資訊和憑證。 Cybereason 研究員 Kotaro Ogino 表示，收集到的憑證被送到各種平台，如 Discord、GitHub 和 Telegram。該活動的詳細資訊於 2023 年 8 月出現在社交媒體平台 X 上，涉及分發看似無害的 RAR 或 ZIP 文件。打開後，這些檔案會觸發感染序列。

蛇的操作方法

這個過程包括兩個中間下載程式－一個批次腳本和一個cmd腳本。後者負責從威脅行為者控制的 GitLab 儲存庫下載並執行資訊竊取程式。 Cybereason 發現了該竊取程式的三個變體，其中第三個變體是由 PyInstaller 組裝的可執行檔。該惡意軟體針對來自各種網頁瀏覽器的數據，重點關注 Coc Coc，這表明其可能源自越南。

被盜資料由憑證和 cookie 組成，透過 Telegram Bot API 以 ZIP 存檔形式外洩。竊取者也被編程為提取特定於 Facebook 的 cookie 訊息，這表明其意圖出於惡意目的劫持帳戶。 GitHub 和 GitLab 儲存庫的命名約定以及原始碼中對越南語的引用強化了越南語聯繫。

Ogino 指出，所有變體都支援越南社區廣泛使用的 Coc Coc 瀏覽器。值得注意的是，在過去的一年中，出現了多個針對 Facebook cookie 的資訊竊取程序，包括 S1deload Stealer、MrTonyScam、NodeStealer 和 VietCredCare。

這一進展恰逢 Meta 在美國因沒有充分協助帳戶被黑受害者而面臨批評。人們呼籲 Meta 立即採取行動，以應對帳戶接管事件的顯著增加。