Laut TechRadar warnt eine neue Studie davor, dass Kriminelle Facebook-Nachrichten ausnutzen, um ein hochentwickeltes, Python-basiertes Infostealer-Tool namens Snake einzusetzen.
Dementsprechend gaben Forscher des Sicherheitslösungsunternehmens Cybereason Einzelheiten zu dieser gefährlichen Angriffskampagne bekannt und erklärten, dass das Hauptziel von Snake darin bestehe, vertrauliche Daten und Anmeldeinformationen naiver Benutzer zu stehlen. Dies scheint eine relativ neue Kampagne zu sein, die erstmals im August 2023 entdeckt wurde und offenbar auf vietnamesische Benutzer abzielt.
Was die Angriffsmethode betrifft, so sendet der Angreifer Nachrichten mit neugierig machendem Inhalt. Darin wird häufig erwähnt, dass vertrauliche Videos des Opfers durchgesickert sind, zusammen mit Links zum Herunterladen komprimierter RAR- oder ZIP-Dateien. Obwohl sie scheinbar harmlos sind, lösen sie beim Öffnen eine Infektionskette aus, an der zwei Malware-Downloader beteiligt sind, darunter ein Batch-Skript und ein CMD-Skript. Darin ist das cmd-Skript für die Ausführung des Tools Snake zum Stehlen von Informationen aus dem vom Angreifer kontrollierten GitLab-Repository verantwortlich.
Über Facebook-Nachrichten werden Nachrichten mit bösartigen Links verbreitet.
Cybereason hat drei Varianten von Snake identifiziert, wobei die dritte Variante eine von PyInstaller erstellte ausführbare Datei ist und auf Benutzer des in Vietnam beliebten Cốc Cốc-Browsers abzielt.
Nach der Erfassung werden Anmeldeinformationen und Cookies über mehrere Plattformen hinweg geteilt, darunter Discord, GitHub und Telegram. Die Schadsoftware zielt auch auf Facebook-Konten ab, indem sie Cookie-Informationen extrahiert, was darauf hinweisen könnte, dass die Kontoübernahme zum Verbreiten von Schadsoftware genutzt wird.
Die Kampagne weist aufgrund der Namenskonvention der von den Angreifern kontrollierten Repositories, die vermutlich vietnamesische Referenzen im Quellcode aufweisen, eine Verbindung zu Hackern aus Vietnam auf. Zum Beispiel „hoang.exe“ oder „hoangtuan.exe“ oder der GitLab-Pfad, der eine Verbindung mit dem Namen „Khoi Nguyen“ anzeigt.
Cybereason stellte außerdem fest, dass die Malware auch auf andere Browser wie Brave, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox und Opera abzielt.
Diese Entdeckung erfolgte vor dem Hintergrund einer zunehmenden Kontrolle von Facebook wegen seines vermeintlichen Versagens bei der Unterstützung von Opfern von Account-Hijacking. Um sich zu schützen, sollten Benutzer Sicherheitsvorkehrungen treffen, insbesondere komplexe Passwörter und eine Zwei-Faktor-Authentifizierung (2FA) verwenden.
[Anzeige_2]
Quellenlink
Kommentar (0)