En ny trussel er opstået rettet mod intetanende Facebook-brugere. Døbt “Slange,” denne Python-baserede informationstyver er konstrueret til at infiltrere systemer og fange følsomme data gennem Facebook-beskeder.
Python-baserede Snake Info Stealer Variants in the Wild
Ifølge Cybereason-forsker Kotaro Ogino, Snake fungerer ved at lokke ofre til at åbne tilsyneladende harmløse RAR- eller ZIP-arkivfiler. Når den er aktiveret, disse filer starter en kompleks infektionssekvens, orkestreret i etaper for at skjule sin ondsindede hensigt.
Angrebskampagnen, oprindeligt opdaget på den sociale medieplatform X i august 2023, beskæftiger to downloadere – et batchscript og et cmd-script – hvor sidstnævnte letter download og eksekvering af informationstyveren fra en aktørstyret GitLab repository.
Cybereason har identificeret tre varianter af Snake, den seneste er en eksekverbar kompileret vha PyInstaller. Især, malwaren er konfigureret til at målrette mod forskellige webbrowsere, med særligt fokus på Cốc Cốc, foreslår en vietnamesisk forbindelse.
De indsamlede legitimationsoplysninger og følsomme oplysninger overføres derefter til forskellige platforme såsom Discord, GitHub, og Telegram, ved at bruge Telegram Bot API til at eksfiltrere data i form af et ZIP-arkiv. Bekymrende er stjælerens evne til at udtrække Facebook-specifikke cookieoplysninger, angiver et motiv til at kapre brugerkonti.
Den vietnamesiske indflydelse er tydelig ikke kun i den målrettede browser, men også i navnekonventionerne for de aktørkontrollerede depoter og tilstedeværelsen af vietnamesiske sprogreferencer i kildekoden.
Er Meta i stand til at beskytte sine brugere?
Snake slutter sig til en bekymrende trend af informationstyve rettet mod kompromitterende Facebook-konti, inklusive S1deload Stealer, MrTonyScam, NodeStealer, og VietCredCare. Denne stigning i ondsindet aktivitet rejser spørgsmål om Metas evne til at beskytte sine brugere, især på baggrund af stigende kritik for dets håndtering af kontoovertagelseshændelser.
Parallelt, trusselsaktører fortsætter med at udnytte sårbarheder på populære platforme, som det fremgår af de seneste resultater fra OALABS Research. Ved at udnytte en GitHub-sårbarhed og bruge SEO-forgiftningstaktik, ondsindede aktører bedrager intetanende brugere til at udføre Lua malware, udstyret med sofistikerede kommando-og-kontrol-funktioner.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: