Schlangen-Infostealer

Bedrohungsakteure nutzen Facebook-Nachrichten, um einen Python-basierten Informationsdiebstahler namens Snake zu verbreiten. Dieses bösartige Tool wurde entwickelt, um vertrauliche Daten, einschließlich Anmeldeinformationen, zu erfassen. Die gestohlenen Zugangsdaten werden anschließend an verschiedene Plattformen wie Discord, GitHub und Telegram übermittelt.

Details zu dieser Kampagne tauchten erstmals im August 2023 auf der Social-Media-Plattform X auf. Die Vorgehensweise besteht darin, potenziell harmlose RAR- oder ZIP-Archivdateien an ahnungslose Opfer zu senden. Beim Öffnen dieser Dateien wird die Infektionssequenz ausgelöst. Der Prozess umfasst zwei Zwischenstufen, bei denen Downloader zum Einsatz kommen – ein Batch-Skript und ein CMD-Skript. Letzterer ist dafür verantwortlich, den Information Stealer aus einem GitLab-Repository abzurufen und auszuführen, das vom Bedrohungsakteur kontrolliert wird.

Mehrere Versionen des Snake Infostealer von Forschern ausgegraben

Sicherheitsexperten haben drei verschiedene Versionen des Informationsdiebstahlers identifiziert, wobei die dritte Variante über PyInstaller als ausführbare Datei kompiliert wurde. Insbesondere ist die Malware darauf zugeschnitten, Daten aus verschiedenen Webbrowsern, einschließlich Cốc Cốc, zu extrahieren, was einen Fokus auf vietnamesische Ziele impliziert.

Die gesammelten Daten, die sowohl Anmeldeinformationen als auch Cookies umfassen, werden anschließend in Form eines ZIP-Archivs mithilfe der Telegram Bot API übermittelt. Darüber hinaus ist der Stealer so konfiguriert, dass er speziell mit Facebook verknüpfte Cookie-Informationen extrahiert, was auf die Absicht hindeutet, Benutzerkonten für böswillige Zwecke zu kompromittieren und zu manipulieren.

Die vietnamesische Verbindung wird außerdem durch die Namenskonventionen der GitHub- und GitLab-Repositorys sowie durch explizite Verweise auf die vietnamesische Sprache im Quellcode belegt. Es ist erwähnenswert, dass alle Varianten des Stealers mit dem Cốc Cốc Browser kompatibel sind, einem in der vietnamesischen Community weit verbreiteten Webbrowser.

Bedrohungsakteure nutzen weiterhin legitime Dienste für ihre Zwecke

Im vergangenen Jahr sind eine Reihe von Informationsdiebstahlern aufgetaucht, die es auf Facebook-Cookies abgesehen haben, darunter S1deload S tealer , MrTonyScam, NodeStealer und VietCredCare .

Dieser Trend fällt mit einer zunehmenden Prüfung von Meta in den USA zusammen, wo das Unternehmen wegen seines vermeintlichen Versäumnisses, Opfern gehackter Konten zu helfen, kritisiert wurde. Es wurde gefordert, dass Meta die zunehmenden und anhaltenden Vorfälle von Kontoübernahmen umgehend angeht.

Zusätzlich zu diesen Bedenken wurde festgestellt, dass Bedrohungsakteure verschiedene Taktiken anwenden, wie etwa eine geklonte Spiele-Cheat-Website, SEO-Poisoning und einen GitHub-Bug, um potenzielle Spiele-Hacker zur Ausführung von Lua-Malware zu verleiten. Insbesondere nutzen die Malware-Betreiber eine GitHub-Schwachstelle aus, die es ermöglicht, dass eine hochgeladene Datei, die mit einem Problem in einem Repository verknüpft ist, bestehen bleibt, selbst wenn das Problem nicht gespeichert wird.

Dies bedeutet, dass Einzelpersonen eine Datei in jedes GitHub-Repository hochladen können, ohne Spuren zu hinterlassen, mit Ausnahme des direkten Links. Die Malware ist mit Command-and-Control (C2)-Kommunikationsfunktionen ausgestattet, was diesen bedrohlichen Aktivitäten eine weitere Ebene der Raffinesse verleiht.