Theo TechRadar, một nghiên cứu mới đã cảnh báo về việc kẻ xấu đang lợi dụng tin nhắn Facebook để triển khai công cụ đánh cắp thông tin (infostealer) đầy tinh vi dựa trên Python, được gọi là Snake.
Theo đó, các nhà nghiên cứu tại công ty giải pháp an ninh Cybereason đã chia sẻ chi tiết về chiến dịch tấn công nguy hiểm này, cho biết mục tiêu chính của Snake là đánh cắp dữ liệu nhạy cảm và thông tin đăng nhập từ những người dùng ngây thơ. Đây dường như là một chiến dịch tương đối mới, được phát hiện lần đầu vào tháng 8.2023 và có dấu hiệu nhắm mục tiêu vào người dùng Việt Nam.
Về phương pháp tấn công, kẻ gian sẽ gửi những tin nhắn có nội dung gợi tả sự tò mò, thường đề cập đến việc nạn nhân bị lộ video nhạy cảm, đi kèm đường dẫn để tải về những tệp tin nén RAR hoặc ZIP. Mặc dù trông có vẻ vô hại, nhưng khi được mở chúng sẽ kích hoạt chuỗi lây nhiễm liên quan đến hai trình tải xuống phần mềm độc hại, gồm một tập lệnh batch và một tập lệnh cmd. Trong đó, tập lệnh cmd chịu trách nhiệm thực thi công cụ đánh cắp thông tin Snake từ kho lưu trữ GitLab do kẻ tấn công kiểm soát.
Các tin nhắn chứa đường dẫn độc hại được lan truyền qua tin nhắn Facebook
Cybereason đã xác định được 3 biến thể của Snake, với biến thể thứ ba là tệp thực thi được PyInstaller tạo ra và nhắm mục tiêu vào người dùng của trình duyệt Cốc Cốc, được sử dụng phổ biến tại Việt Nam.
Sau khi thu thập, thông tin đăng nhập và cookie được chia sẻ thông qua nhiều nền tảng, bao gồm Discord, GitHub và Telegram. Phần mềm độc hại cũng nhắm mục tiêu vào các tài khoản Facebook bằng cách trích xuất thông tin cookie, điều này có thể cho thấy mục tiêu chiếm đoạt tài khoản sẽ được dùng cho các mục đích lây lan phần mềm độc hại.
Chiến dịch này cho thấy mối liên hệ đến các tin tặc đến từ Việt Nam bởi quy ước đặt tên của các kho lưu trữ do kẻ tấn công kiểm soát, được cho là có tham chiếu đến tiếng Việt trong mã nguồn. Chẳng hạn như ‘hoang.exe’ hoặc ‘hoangtuan.exe’, hoặc đường dẫn GitLab cho thấy có liên quan đến cái tên ‘Khôi Nguyễn’.
Cybereason cũng lưu ý phần mềm độc hại còn nhắm mục tiêu vào các trình duyệt khác như Brave, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox và Opera.
Phát hiện này diễn ra trong bối cảnh Facebook bị giám sát chặt chẽ hơn vì được cho là không hỗ trợ nạn nhân của việc chiếm đoạt tài khoản. Để bảo vệ bản thân, người dùng nên thực hiện các biện pháp phòng ngừa bảo mật, đặc biệt là sử dụng mật khẩu phức tạp và xác thực hai yếu tố (2FA).
