Hakeri koriste Facebook poruke za širenje kradljivca informacija zasnovanog na Pythonu pod nazivom Snake, upozoravaju istraživači.
Cybereason istraživači upozoravaju da hakeri koriste Facebook poruke za širenje malicoznog softvera Snake, kradljivca informacija zasnovanog na Pythonu.
Istraživači su primijetili da hakeri održavaju tri različite varijante Python Infostealer-a. Dvije od ovih varijanti su obične Python skripte, dok je treća varijanta izvršna datoteka koju sastavlja PyInstaller.
Nakon što malver izvuče kredencijale iz zaraženog sistema, on ih prenosi na različite platforme kao što su Discord, GitHub i Telegram zloupotrebom njihovih API-ja.
Kampanja je aktivna najmanje od avgusta 2023. godine kada ju je otkrio istraživač kibernetičke sigurnosti na X-u.
Hakeri su slali direktne poruke putem Facebook messenger-a žrtvama pokušavajući ih prevariti da preuzmu arhivske datoteke kao što su RAR ili ZIP datoteke. Arhive sadrže dva programa za preuzimanje, grupnu skriptu i cmd skriptu, pri čemu se konačni preuzimač koristi za ispuštanje odgovarajuće Python Infostealer varijante na sistem žrtve.
“Arhivirana datoteka sadrži BAT skriptu koja je prvi downloader koji pokreće lanac infekcije. BAT skripta pokušava da preuzme ZIP datoteku putem naredbe cURL , stavljajući preuzetu datoteku u direktorij C:\Users\Public kao myFile.zip. BAT skripta nastavlja sa stvaranjem druge PowerShell komande Expand-Archive kako bi izdvojila CMD skriptu vn.cmd iz ZIP datoteke i nastavlja sa njenom infekcijom” stoji u izvještaju koji je objavio Cybereason. “CMD skripta vn.cmd je primarna skripta odgovorna za preuzimanje i izvršavanje Python Infostealer-a.“
Infostealer može prikupiti osjetljive podatke iz različitih web preglednika, uključujući:
- Hrabro
- Coc Coc Browser
- Chromium
- Google Chrome Browser
- Microsoft Edge
- Mozilla Firefox
- Opera Web Browser
Dozvolite mi da istaknem da je Coc Coc Browser pretraživač koji naširoko koristi vijetnamska zajednica. Odabir ovog pretraživača također sugeriše da je u nekom trenutku postojala specifična potražnja za ciljanjem vijetnamske zajednice.
Istraživači su primijetili da je infostealer takođe u stanju prikupiti informacije o kolačićima specifične za Facebook.
“Osim kolačića i informacija o kredencijalima, project.py izbacuje informacije o kolačićima specifične za Facebook cookiefb.txt na disk. Ovo ponašanje je vjerovatno da će haker oteti žrtvin Facebook nalog, potencijalno da proširi njihovu infekciju.” nastavlja izvještaj.
Istraživači pripisuju kampanju pojedincima koji govore vijetnamski na osnovu nekoliko pokazatelja, uključujući komentare u skriptama, konvencije imenovanja i prisustvo Coc Coc pretraživača na listi ciljanih pretraživača.
Izvor: SecurityAffairs