È emersa una nuova minaccia che prende di mira gli ignari utenti di Facebook. Soprannominato “Serpente,” questo ladro di informazioni basato su Python è progettato per infiltrarsi nei sistemi e acquisire dati sensibili tramite i messaggi di Facebook.
Varianti di Snake Info Stealer basate su Python in natura
Secondo il ricercatore di Cybereason Kotaro Ogino, Snake agisce inducendo le vittime ad aprire file di archivio RAR o ZIP apparentemente innocui. Una volta attivato, questi file avviano una complessa sequenza di infezione, orchestrato in più fasi per nascondere il suo intento dannoso.
La campagna d'attacco, inizialmente rilevato sulla piattaforma di social media X in agosto 2023, impiega due downloader – uno script batch e uno script cmd – con quest'ultimo che facilita il download e l'esecuzione del ladro di informazioni da un attore controllato Repositorio GitLab.
Cybereason ha identificato tre varianti di Snake, l'ultimo è un eseguibile compilato utilizzando PyInstaller. In particolare, il malware è configurato per prendere di mira vari browser web, con un focus particolare su Cốc Cốc, suggerendo una connessione vietnamita.
Le credenziali raccolte e le informazioni sensibili vengono quindi trasmesse a diverse piattaforme come Discord, GitHub, e Telegram, utilizzando l'API di Telegram Bot per esfiltrare i dati sotto forma di un archivio ZIP. Ciò che preoccupa è la capacità del ladro di estrarre informazioni sui cookie specifiche di Facebook, indicando un motivo per dirottare gli account utente.
L'influenza vietnamita è evidente non solo nel browser preso di mira ma anche nelle convenzioni di denominazione dei repository controllati dagli attori e nella presenza di riferimenti alla lingua vietnamita all'interno del codice sorgente.
Meta è in grado di proteggere i suoi utenti?
Snake si unisce a una tendenza preoccupante a cui mirano i ladri di informazioni compromettere gli account Facebook, incluso S1deload Stealer, SignorTonyScam, NodeStealer, e VietCredCare. Questo aumento di attività dannose solleva interrogativi sulla capacità di Meta di proteggere i propri utenti, soprattutto in mezzo alle crescenti critiche per la sua gestione degli episodi di furto di account.
In parallelo, gli autori delle minacce continuano a sfruttare le vulnerabilità nelle piattaforme più popolari, come evidenziato dai recenti risultati della ricerca OALABS. Sfruttando una vulnerabilità di GitHub e impiegando tattiche di avvelenamento da SEO, gli attori malintenzionati ingannano gli utenti ignari inducendoli a eseguire il malware Lua, dotato di sofisticate capacità di comando e controllo.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: