ベトナムのFacebookユーザーが悪質な「Snake」キャンペーンの標的にされている

TechRadarによると、新たな調査では、悪意のある人物が Facebook のメッセージを悪用して Snake と呼ばれる高度な Python ベースの情報窃盗ツールを展開していると警告されています。

セキュリティソリューション企業Cybereasonの研究者は、この危険な攻撃キャンペーンの詳細を公開し、Snakeの主な目的は、知識のないユーザーから機密データとログイン認証情報を盗むことだと述べています。これは比較的新しいキャンペーンのようで、2023年8月に初めて検出され、ベトナムのユーザーを標的にしている兆候が見られます。

攻撃手法としては、攻撃者は被害者の好奇心をそそる内容のメッセージを送信します。多くの場合、被害者の機密性の高い動画の公開内容に言及し、圧縮されたRARまたはZIPファイルをダウンロードするためのリンクが添付されています。一見無害に見えますが、開封すると、バッチスクリプトとコマンドプロンプトスクリプトを含む2つのマルウェアダウンローダーを含む感染チェーンが引き起こされます。コマンドプロンプトスクリプトは、攻撃者が管理するGitLabリポジトリからSnake情報窃取ツールを実行する役割を担っています。

サイバーリーズンはSnakeの3つの亜種を特定しており、3つ目はPyInstallerによって作成された実行可能ファイルで、ベトナムで人気のCốc Cốcブラウザのユーザーを標的にしています。

収集されたログイン情報とCookieは、Discord、GitHub、Telegramなど複数のプラットフォーム間で共有されました。マルウェアはCookie情報を抽出することでFacebookアカウントも標的にしており、アカウント乗っ取りがマルウェア拡散の目的で行われた可能性を示唆しています。

この攻撃はベトナムのハッカーに関連していると思われる。攻撃者が管理するリポジトリの命名規則には、ソースコードに「hoang.exe」や「hoangtuan.exe」などのベトナム語の参照が含まれていると言われている。また、GitLab のパスには「Khoi Nguyen」という名前を参照しているように見える。

サイバーリーズンは、このマルウェアがBrave、Chromium、Google Chrome、Microsoft Edge、Mozilla Firefox、Operaなどの他のブラウザも標的にしていると指摘した。

この発見は、アカウント乗っ取りの被害者に対するFacebookの支援不足をめぐり、厳しい監視が強化される中で起きた。ユーザーは、自らを守るために、特に複雑なパスワードや二要素認証（2FA）といったセキュリティ対策を講じることが推奨される。