Usuários vietnamitas do Facebook estão sendo alvos da campanha maliciosa 'Snake'

De acordo com o TechRadar , um novo estudo alertou que bandidos estão aproveitando as mensagens do Facebook para implantar uma sofisticada ferramenta de roubo de informações baseada em Python chamada Snake.

Nesse sentido, pesquisadores da empresa de soluções de segurança Cybereason compartilharam detalhes dessa perigosa campanha de ataque, afirmando que o principal objetivo do Snake é roubar dados confidenciais e informações de login de usuários incautos. Esta parece ser uma campanha relativamente nova, detectada pela primeira vez em agosto de 2023 e que mostra sinais de ter como alvo usuários vietnamitas.

Em termos de métodos de ataque, os invasores enviam mensagens com conteúdo curioso, frequentemente mencionando a exposição de vídeos sensíveis da vítima, juntamente com links para baixar arquivos compactados RAR ou ZIP. Embora aparentemente inofensivos, quando abertos, eles desencadeiam uma cadeia de infecção envolvendo dois downloaders de malware, incluindo um script em lote e um script cmd. No qual o script cmd é responsável por executar a ferramenta Snake para roubo de informações do repositório GitLab controlado pelo invasor.

A Cybereason identificou três variantes do Snake, sendo a terceira um executável criado pelo PyInstaller e direcionado a usuários do navegador Cốc Cốc, popular no Vietnã.

Uma vez coletadas, as informações de login e os cookies eram compartilhados entre diversas plataformas, incluindo Discord, GitHub e Telegram. O malware também tinha como alvo contas do Facebook, extraindo informações de cookies, o que poderia indicar que a invasão de contas tinha a intenção de ser usada para disseminar malware.

A campanha parece estar ligada a hackers do Vietnã, já que a convenção de nomenclatura dos repositórios controlados pelo invasor teria referências vietnamitas no código-fonte, como 'hoang.exe' ou 'hoangtuan.exe', ou o link do GitLab que parece estar relacionado ao nome 'Khoi Nguyen'.

A Cybereason também observou que o malware também tem como alvo outros navegadores, como Brave, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox e Opera.

A descoberta ocorre em meio a uma crescente investigação sobre o Facebook por sua suposta falta de suporte às vítimas de sequestro de contas. Para se protegerem, os usuários são aconselhados a tomar precauções de segurança, principalmente usando senhas complexas e autenticação de dois fatores (2FA).