Laut TechRadar warnt eine neue Studie davor, dass Kriminelle Facebook-Nachrichten ausnutzen, um ein hochentwickeltes Infostealer-Tool auf Python-Basis namens Snake einzusetzen.
Dementsprechend veröffentlichten Forscher des Sicherheitslösungsunternehmens Cybereason Details dieser gefährlichen Angriffskampagne und erklärten, dass Snakes Hauptziel darin bestehe, sensible Daten und Anmeldeinformationen naiver Nutzer zu stehlen. Es scheint sich um eine relativ neue Kampagne zu handeln, die erstmals im August 2023 entdeckt wurde und Anzeichen dafür aufweist, dass sie auf vietnamesische Nutzer abzielt.
Die Angreifer versenden Nachrichten mit Inhalten, die die Neugier des Opfers wecken. Oft wird auf sensible Videoaufnahmen hingewiesen, zusammen mit Links zum Download komprimierter RAR- oder ZIP-Dateien. Obwohl sie harmlos erscheinen, lösen sie beim Öffnen eine Infektionskette aus, an der zwei Malware-Downloader beteiligt sind, darunter ein Batch-Skript und ein Cmd-Skript. Das Cmd-Skript führt das Tool Snake aus, das Informationen aus einem vom Angreifer kontrollierten GitLab-Repository stiehlt.
Über Facebook-Nachrichten werden Nachrichten mit schädlichen Links verbreitet.
Cybereason hat drei Varianten von Snake identifiziert, wobei die dritte Variante eine von PyInstaller erstellte ausführbare Datei ist und auf Benutzer des in Vietnam beliebten Cốc Cốc-Browsers abzielt.
Nach der Erfassung wurden die Logins und Cookies über verschiedene Plattformen wie Discord, GitHub und Telegram geteilt. Die Malware zielte auch auf Facebook-Konten ab, indem sie Cookie-Informationen extrahierte. Dies könnte darauf hindeuten, dass die Kontoübernahme zur Verbreitung von Malware genutzt werden sollte.
Die Kampagne scheint mit Hackern aus Vietnam in Verbindung zu stehen, da die Namenskonvention der von den Angreifern kontrollierten Repositories vietnamesische Referenzen im Quellcode enthalten soll, wie etwa „hoang.exe“ oder „hoangtuan.exe“, oder der GitLab-Pfad, der auf den Namen „Khoi Nguyen“ zu verweisen scheint.
Cybereason stellte außerdem fest, dass die Malware auch auf andere Browser wie Brave, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox und Opera abzielt.
Die Entdeckung erfolgte vor dem Hintergrund zunehmender Kritik an Facebook wegen seiner vermeintlich mangelnden Unterstützung für Opfer von Account-Hijacking. Um sich zu schützen, wird Nutzern empfohlen, Sicherheitsvorkehrungen zu treffen, insbesondere komplexe Passwörter und Zwei-Faktor-Authentifizierung (2FA) zu verwenden.
[Anzeige_2]
Quellenlink
Kommentar (0)