ベトナムのFacebookユーザーが悪質な「Snake」キャンペーンの標的にされている

TechRadarによると、新たな調査では、悪意のある人物が Facebook のメッセージを利用して Snake と呼ばれる高度な Python ベースの情報窃盗ツールを展開していると警告している。

セキュリティソリューション企業Cyber​​easonの研究者は、この危険な攻撃キャンペーンの詳細を公開し、Snakeの主な目的は、知識のないユーザーから機密データやログイン情報を盗むことだと述べています。これは比較的新しいキャンペーンのようで、2023年8月に初めて検出され、ベトナムのユーザーを標的にしている兆候が見られます。

攻撃手法としては、攻撃者は興味深い内容のメッセージを送信します。多くの場合、被害者の機密性の高い動画の公開について言及し、圧縮されたRARまたはZIPファイルをダウンロードするためのリンクが添付されています。一見無害に見えますが、開封すると、バッチスクリプトとコマンドプロンプトスクリプトを含む2つのマルウェアダウンローダーを含む感染チェーンが引き起こされます。このうち、コマンドプロンプトスクリプトは、攻撃者が管理するGitLabリポジトリからSnake情報窃取ツールを実行する役割を担っています。

サイバーリーズンはSnakeの3つの亜種を特定しており、3つ目はPyInstallerによって作成された実行可能ファイルで、ベトナムで人気のあるCốc Cốcブラウザのユーザーを標的にしています。

収集されたログイン情報とCookieは、Discord、GitHub、Telegramなど複数のプラットフォーム間で共有されました。マルウェアはCookie情報を抽出することでFacebookアカウントも標的にしており、アカウント乗っ取りがマルウェア拡散の目的で利用された可能性を示唆しています。

この攻撃はベトナムのハッカーに関連していると思われる。攻撃者が管理するリポジトリの命名規則では、ソースコードに「hoang.exe」や「hoangtuan.exe」などのベトナム語の参照が含まれていると言われており、また GitLab リンクは「Khoi Nguyen」という名前に関連していると思われる。

サイバーリーズンは、このマルウェアがBrave、Chromium、Google Chrome、Microsoft Edge、Mozilla Firefox、Operaなどの他のブラウザも標的にしていると指摘した。

この発見は、アカウント乗っ取りの被害者に対するFacebookのサポートが不十分だとして、監視が強化される中で起きた。ユーザーは、自身の身を守るために、特に複雑なパスワードと二要素認証（2FA）の使用など、セキュリティ対策を講じることが推奨される。