Laut TechRadar warnt eine neue Studie davor, dass Kriminelle Facebook-Nachrichten ausnutzen, um ein hochentwickeltes Infostealer-Tool auf Python-Basis namens Snake einzusetzen.

Dementsprechend gaben Forscher des Sicherheitslösungsunternehmens Cybereason Einzelheiten zu dieser gefährlichen Angriffskampagne bekannt und erklärten, dass das Hauptziel von Snake darin bestehe, vertrauliche Daten und Anmeldeinformationen naiver Benutzer zu stehlen. Dies scheint eine relativ neue Kampagne zu sein, die erstmals im August 2023 entdeckt wurde und sich offenbar an vietnamesische Benutzer richtet.

Was die Angriffsmethode betrifft, so sendet der Angreifer Nachrichten mit Inhalten, die Neugier wecken. Oft wird darin erwähnt, dass vertrauliche Videos des Opfers durchgesickert sind, zusammen mit Links zum Herunterladen komprimierter RAR- oder ZIP-Dateien. Obwohl sie scheinbar harmlos sind, lösen sie beim Öffnen eine Infektionskette aus, an der zwei Malware-Downloader beteiligt sind, darunter ein Batch-Skript und ein CMD-Skript. Darin ist das cmd-Skript für die Ausführung des Tools Snake zum Diebstahl von Informationen aus dem vom Angreifer kontrollierten GitLab-Repository verantwortlich.

Cybereason hat drei Varianten von Snake identifiziert, wobei die dritte Variante eine von PyInstaller erstellte ausführbare Datei ist und auf Benutzer des in Vietnam beliebten Cốc Cốc-Browsers abzielt.

Nach der Erfassung werden Anmeldeinformationen und Cookies über mehrere Plattformen hinweg geteilt, darunter Discord, GitHub und Telegram. Die Schadsoftware zielt auch auf Facebook-Konten ab, indem sie Cookie-Informationen extrahiert, was darauf hindeuten könnte, dass die Kontoübernahmen zur Verbreitung von Schadsoftware genutzt werden.

Die Kampagne weist aufgrund der Namenskonvention der von den Angreifern kontrollierten Repositories, die vermutlich vietnamesische Referenzen im Quellcode enthalten, eine Verbindung zu Hackern aus Vietnam auf. Zum Beispiel „hoang.exe“ oder „hoangtuan.exe“ oder der GitLab-Pfad, der eine Verbindung zum Namen „Khoi Nguyen“ anzeigt.

Cybereason stellte außerdem fest, dass die Malware auch auf andere Browser wie Brave, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox und Opera abzielt.

Die Entdeckung erfolgte vor dem Hintergrund einer zunehmenden Kritik an Facebook wegen seines vermeintlichen Versagens bei der Unterstützung von Opfern von Account-Hijacking. Um sich zu schützen, sollten Benutzer Sicherheitsvorkehrungen treffen, insbesondere komplexe Passwörter und eine Zwei-Faktor-Authentifizierung (2FA) verwenden.