По данным TechRadar , новое исследование предупредило, что злоумышленники используют сообщения Facebook для развертывания сложного инструмента для кражи информации на основе Python под названием Snake.
Соответственно, исследователи из компании Cybereason, занимающейся решениями в области безопасности, поделились подробностями этой опасной атаки, заявив, что главной целью Snake является кража конфиденциальных данных и информации для входа у наивных пользователей. Похоже, это относительно новая кампания, впервые обнаруженная в августе 2023 года и нацеленная, по-видимому, на вьетнамских пользователей.
Что касается метода атаки, злоумышленник отправляет сообщения с контентом, который вызывает любопытство, часто упоминая об утечке конфиденциальных видео жертвы, а также ссылки для загрузки сжатых файлов RAR или ZIP. Несмотря на кажущуюся безвредность, при открытии они запускают цепочку заражения, включающую два загрузчика вредоносного ПО, включая пакетный скрипт и скрипт cmd. В нем скрипт cmd отвечает за выполнение инструмента Snake, крадущего информацию из контролируемого злоумышленником репозитория GitLab.
Сообщения, содержащие вредоносные ссылки, распространяются через сообщения Facebook.
Компания Cybereason выявила три варианта Snake, третий из которых представляет собой исполняемый файл, созданный PyInstaller и нацеленный на пользователей браузера Cốc Cốc, популярного во Вьетнаме.
После сбора данные для входа и файлы cookie распространяются на нескольких платформах, включая Discord, GitHub и Telegram. Вредоносное ПО также атакует аккаунты Facebook, извлекая информацию из файлов cookie, что может указывать на то, что захват аккаунтов будет использоваться для распространения вредоносного ПО.
Связь кампании с хакерами из Вьетнама прослеживается из-за соглашения об именовании контролируемых злоумышленниками репозиториев, которые, как предполагается, содержат вьетнамские ссылки в исходном коде. Например, «hoang.exe» или «hoangtuan.exe», или путь GitLab, который показывает связь с именем «Khoi Nguyen».
Cybereason также отметила, что вредоносное ПО нацелено и на другие браузеры, такие как Brave, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox и Opera.
Это открытие произошло на фоне усиленного внимания к Facebook из-за его предполагаемой неспособности оказать поддержку жертвам взлома аккаунтов. Чтобы защитить себя, пользователям следует принимать меры безопасности, особенно использовать сложные пароли и двухфакторную аутентификацию (2FA).
Ссылка на источник
Комментарий (0)