TechRadarによると、新たな調査では、悪意のある人物が Facebook のメッセージを悪用して Snake と呼ばれる高度な Python ベースの情報窃盗ツールを展開していると警告している。

それに応じて、セキュリティソリューション企業サイバーリーズンの研究者は、この危険な攻撃キャンペーンの詳細を共有し、Snake の主な目的は、無知なユーザーから機密データとログイン情報を盗むことだと述べています。これは比較的新しいキャンペーンのようで、2023 年 8 月に初めて検出され、ベトナムのユーザーをターゲットにしているようです。

攻撃方法については、攻撃者は好奇心をそそる内容のメッセージを送信し、多くの場合、被害者の機密ビデオが漏洩したと述べ、圧縮された RAR ファイルまたは ZIP ファイルをダウンロードするためのリンクを添付します。一見無害に見えますが、開くと、バッチ スクリプトと cmd スクリプトを含む 2 つのマルウェア ダウンローダーを含む感染チェーンがトリガーされます。この中で、cmd スクリプトは、攻撃者が制御する GitLab リポジトリから Snake 情報窃取ツールを実行する役割を担っています。

Cyber​​eason は Snake の 3 つの亜種を特定しました。3 つ目は PyInstaller によって作成された実行可能ファイルで、ベトナムで人気のある Cốc Cốc ブラウザのユーザーをターゲットにしています。

収集されたログイン情報と Cookie は、Discord、GitHub、Telegram などの複数のプラットフォーム間で共有されます。このマルウェアは、Cookie 情報を抽出して Facebook アカウントも標的にしており、アカウントの乗っ取りがマルウェア拡散の目的で利用される可能性を示唆している。

この攻撃は、攻撃者が管理するリポジトリの命名規則から、ベトナムのハッカーとのつながりがうかがえる。ソースコードにはベトナム語の参照が含まれているとみられる。たとえば、「hoang.exe」や「hoangtuan.exe」、または「Khoi Nguyen」という名前への接続を示す GitLab パスなどです。

サイバーリーズンは、このマルウェアがBrave、Chromium、Google Chrome、Microsoft Edge、Mozilla Firefox、Operaなどの他のブラウザも標的にしていると指摘した。

この発見は、アカウント乗っ取りの被害者に対するサポートを怠ったとしてフェイスブックに対する監視が強まる中で起きた。ユーザーは自分自身を保護するために、特に複雑なパスワードと 2 要素認証 (2FA) を使用してセキュリティ対策を講じる必要があります。