Según TechRadar , un nuevo estudio ha advertido que los malos están explotando los mensajes de Facebook para implementar una sofisticada herramienta de robo de información basada en Python llamada Snake.

En consecuencia, los investigadores de la empresa de soluciones de seguridad Cybereason compartieron detalles sobre esta peligrosa campaña de ataque y dijeron que el objetivo principal de Snake es robar datos confidenciales e información de inicio de sesión de usuarios ingenuos. Esta parece ser una campaña relativamente nueva, detectada por primera vez en agosto de 2023, y parece estar dirigida a usuarios vietnamitas.

Respecto al método de ataque, el atacante enviará mensajes con contenido que despierte curiosidad, muchas veces mencionando que se han filtrado vídeos sensibles de la víctima, junto con enlaces para descargar archivos comprimidos RAR o ZIP. Aunque aparentemente son inofensivos, cuando se abren desencadenan una cadena de infección que involucra a dos descargadores de malware, incluido un script por lotes y un script cmd. En él, el script cmd es responsable de ejecutar la herramienta de robo de información Snake desde el repositorio GitLab controlado por el atacante.

Cybereason ha identificado tres variantes de Snake, siendo la tercera un ejecutable creado por PyInstaller y dirigido a los usuarios del navegador Cốc Cốc, que es popular en Vietnam.

Una vez recopiladas, la información de inicio de sesión y las cookies se comparten entre múltiples plataformas, incluidas Discord, GitHub y Telegram. El malware también ataca las cuentas de Facebook extrayendo información de las cookies, lo que podría indicar que las apropiaciones de cuentas se utilizarán con fines de propagación de malware.

La campaña muestra una conexión con piratas informáticos de Vietnam debido a la convención de nombres de los repositorios controlados por los atacantes, que se cree que tienen referencias vietnamitas en el código fuente. Por ejemplo, 'hoang.exe' o 'hoangtuan.exe', o la ruta de GitLab que muestra una conexión con el nombre 'Khoi Nguyen'.

Cybereason también señaló que el malware también ataca a otros navegadores como Brave, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox y Opera.

El descubrimiento se produce en medio de un mayor escrutinio de Facebook por su aparente fracaso a la hora de apoyar a las víctimas de secuestro de cuentas. Para protegerse, los usuarios deben tomar precauciones de seguridad, especialmente utilizando contraseñas complejas y autenticación de dos factores (2FA).