Βιετναμέζοι χρήστες του Facebook στοχοποιούνται από την κακόβουλη καμπάνια «Snake»

Σύμφωνα με το TechRadar , μια νέα μελέτη προειδοποιεί ότι οι κακοί εκμεταλλεύονται τα μηνύματα του Facebook για να αναπτύξουν ένα εξελιγμένο εργαλείο κλοπής πληροφοριών που βασίζεται σε Python, το Snake.

Συνεπώς, ερευνητές της εταιρείας λύσεων ασφαλείας Cybereason μοιράστηκαν λεπτομέρειες σχετικά με αυτήν την επικίνδυνη εκστρατεία επίθεσης, λέγοντας ότι ο κύριος στόχος του Snake είναι να κλέψει ευαίσθητα δεδομένα και στοιχεία σύνδεσης από αφελείς χρήστες. Αυτή φαίνεται να είναι μια σχετικά νέα εκστρατεία, που εντοπίστηκε για πρώτη φορά τον Αύγουστο του 2023 και δείχνει σημάδια στόχευσης Βιετναμέζικων χρηστών.

Όσον αφορά τις μεθόδους επίθεσης, οι εισβολείς θα στέλνουν μηνύματα με περίεργο περιεχόμενο, συχνά αναφέροντας την ευαίσθητη έκθεση του θύματος σε βίντεο , μαζί με συνδέσμους για λήψη συμπιεσμένων αρχείων RAR ή ZIP. Αν και φαινομενικά ακίνδυνα, όταν ανοιχτούν, θα ενεργοποιήσουν μια αλυσίδα μόλυνσης που περιλαμβάνει δύο προγράμματα λήψης κακόβουλου λογισμικού, συμπεριλαμβανομένου ενός σεναρίου δέσμης και ενός σεναρίου cmd. Στο οποίο, το σενάριο cmd είναι υπεύθυνο για την εκτέλεση του εργαλείου κλοπής πληροφοριών Snake από το αποθετήριο GitLab που ελέγχεται από τον εισβολέα.

Η Cybereason έχει εντοπίσει τρεις παραλλαγές του Snake, με την τρίτη να είναι ένα εκτελέσιμο αρχείο που δημιουργήθηκε από το PyInstaller και στοχεύει τους χρήστες του προγράμματος περιήγησης Cốc Cốc, το οποίο είναι δημοφιλές στο Βιετνάμ.

Μόλις συλλεχθούν, τα στοιχεία σύνδεσης και τα cookies κοινοποιήθηκαν σε πολλές πλατφόρμες, συμπεριλαμβανομένων των Discord, GitHub και Telegram. Το κακόβουλο λογισμικό στόχευε επίσης λογαριασμούς Facebook εξάγοντας πληροφορίες cookie, οι οποίες θα μπορούσαν να υποδηλώνουν ότι η κατάληψη λογαριασμού προοριζόταν να χρησιμοποιηθεί για σκοπούς διάδοσης κακόβουλου λογισμικού.

Η καμπάνια φαίνεται να συνδέεται με χάκερ από το Βιετνάμ, καθώς η σύμβαση ονομασίας των αποθετηρίων που ελέγχονται από τους εισβολείς λέγεται ότι έχει βιετναμέζικες αναφορές στον πηγαίο κώδικα, όπως «hoang.exe» ή «hoangtuan.exe», ή τον σύνδεσμο GitLab που φαίνεται να σχετίζεται με το όνομα «Khoi Nguyen».

Η Cybereason σημείωσε επίσης ότι το κακόβουλο λογισμικό στοχεύει και άλλα προγράμματα περιήγησης όπως Brave, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox και Opera.

Η ανακάλυψη έρχεται εν μέσω αυξημένου ελέγχου του Facebook για την έλλειψη υποστήριξης που υποδηλώνει για τα θύματα παραβίασης λογαριασμών. Για να προστατευτούν, οι χρήστες συμβουλεύονται να λαμβάνουν προφυλάξεις ασφαλείας, ιδίως χρησιμοποιώντας πολύπλοκους κωδικούς πρόσβασης και έλεγχο ταυτότητας δύο παραγόντων (2FA).