베트남 페이스북 사용자들이 악의적인 '스네이크' 캠페인의 표적이 되고 있다

TechRadar 에 따르면, 새로운 연구에 따르면 악의적인 사람들이 Facebook 메시지를 악용하여 Snake라는 정교한 Python 기반 정보 탈취 도구를 배포하고 있다고 경고했습니다.

보안 솔루션 회사 사이버리즌(Cybereason)의 연구원들은 이 위험한 공격 캠페인에 대한 세부 정보를 공개하며, 스네이크(Snake)의 주요 목표는 무분별한 사용자의 민감한 데이터와 로그인 정보를 훔치는 것이라고 밝혔습니다. 이 캠페인은 비교적 새로운 것으로 보이며, 2023년 8월에 처음 탐지되었으며 베트남 사용자를 표적으로 삼는 징후를 보이고 있습니다.

공격 방법 측면에서, 공격자는 피해자의 호기심을 자극하는 내용의 메시지를 보냅니다. 여기에는 피해자가 노출된 민감한 비디오 와 압축 RAR 또는 ZIP 파일 다운로드 링크가 포함되는 경우가 많습니다. 겉보기에는 무해해 보이지만, 이 메시지를 열면 배치 스크립트와 명령 프롬프트(cmd) 스크립트를 포함한 두 개의 맬웨어 다운로더를 통해 감염 사슬이 시작됩니다. 명령 프롬프트는 공격자가 제어하는 GitLab 저장소에서 Snake 정보 유출 도구를 실행합니다.

Cybereason은 Snake의 세 가지 변종을 발견했는데, 세 번째 변종은 PyInstaller로 만든 실행 파일로, 베트남에서 인기 있는 Cốc Cốc 브라우저 사용자를 대상으로 합니다.

수집된 로그인 정보와 쿠키는 Discord, GitHub, Telegram 등 여러 플랫폼에서 공유되었습니다. 또한, 이 악성코드는 쿠키 정보를 추출하여 페이스북 계정을 표적으로 삼았는데, 이는 계정 탈취가 악성코드 유포 목적으로 사용되었음을 시사할 수 있습니다.

이 캠페인은 베트남 해커들과 관련이 있는 것으로 보이는데, 공격자가 제어하는 저장소의 명명 규칙에 소스 코드에 'hoang.exe' 또는 'hoangtuan.exe'와 같이 베트남어 참조가 포함되거나 GitLab 경로에 'Khoi Nguyen'이라는 이름이 참조되는 것으로 알려졌기 때문입니다.

Cybereason은 이 맬웨어가 Brave, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox, Opera 등 다른 브라우저도 표적으로 삼는다고 밝혔습니다.

이번 발견은 페이스북이 계정 도용 피해자에 대한 지원 부족으로 인해 감시를 강화하는 가운데 나온 것입니다. 사용자들은 스스로를 보호하기 위해 보안 조치를 취해야 하며, 특히 복잡한 비밀번호와 2단계 인증(2FA)을 사용하는 것이 좋습니다.