Er is een nieuwe dreiging opgedoken die zich richt op nietsvermoedende Facebook-gebruikers. Dubbed “Slang,” deze op Python gebaseerde informatiedief is ontworpen om systemen te infiltreren en gevoelige gegevens vast te leggen via Facebook-berichten.
Op Python gebaseerde Snake Info Stealer-varianten in het wild
Volgens Cybereason-onderzoeker Kotaro Ogino, Snake werkt door slachtoffers te verleiden schijnbaar ongevaarlijke RAR- of ZIP-archiefbestanden te openen. Eenmaal geactiveerd, deze bestanden initiëren een complexe infectiesequentie, georkestreerd in fasen om zijn kwade bedoelingen te verbergen.
De aanvalscampagne, voor het eerst ontdekt op het sociale mediaplatform X in augustus 2023, maakt gebruik van twee downloaders – een batchscript en een cmd-script – waarbij de laatste het downloaden en uitvoeren van de informatie-diefstal vergemakkelijkt door een door een acteur bestuurd GitLab-opslagplaats.
Cybereason heeft dat gedaan geïdentificeerd drie varianten van Snake, de nieuwste is een uitvoerbaar bestand dat is gecompileerd met behulp van PyInstaller. Opmerkelijk, de malware is geconfigureerd om zich op verschillende webbrowsers te richten, met een bijzondere focus op Cốc Cốc, wat een Vietnamese connectie suggereert.
De verzamelde inloggegevens en gevoelige informatie worden vervolgens verzonden naar verschillende platforms zoals Discord, GitHub, en Telegram, met behulp van de Telegram Bot API om gegevens te exfiltreren in de vorm van een ZIP-archief. Zorgwekkend is het vermogen van de dief om Facebook-specifieke cookie-informatie te extraheren, wat een motief aangeeft om gebruikersaccounts te kapen.
De Vietnamese invloed is niet alleen duidelijk zichtbaar in de beoogde browser, maar ook in de naamgevingsconventies van de door actoren gecontroleerde repositories en de aanwezigheid van Vietnamese taalreferenties in de broncode..
Is Meta in staat zijn gebruikers te beschermen??
Snake sluit zich aan bij een zorgwekkende trend van informatiediefstallen Facebook-accounts in gevaar brengen, inclusief S1deload Stealer, MrTonyScam, KnooppuntStealer, en VietCredCare. Deze toename van kwaadaardige activiteiten roept vragen op over het vermogen van Meta om zijn gebruikers te beschermen, vooral te midden van toenemende kritiek op de afhandeling van incidenten met accountovernames.
Parallel, Bedreigingsactoren blijven kwetsbaarheden in populaire platforms uitbuiten, zoals blijkt uit recente bevindingen van OALABS Research. Door gebruik te maken van een GitHub-kwetsbaarheid en SEO-vergiftigingstactieken toe te passen, kwaadwillende actoren misleiden nietsvermoedende gebruikers om Lua-malware uit te voeren, uitgerust met geavanceerde command-and-control-mogelijkheden.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: