По данным TechRadar , новое исследование предупредило, что злоумышленники используют сообщения Facebook для развертывания сложного инструмента для кражи информации на базе Python под названием Snake.
Исследователи компании Cybereason, занимающейся разработкой решений безопасности, поделились подробностями этой опасной атаки, заявив, что главная цель Snake — кража конфиденциальных данных и учётных данных доверчивых пользователей. Похоже, это относительно новая кампания, впервые обнаруженная в августе 2023 года, и, судя по всему, нацелена на вьетнамских пользователей.
Что касается методов атаки, злоумышленники отправляют сообщения с контентом, возбуждающим любопытство жертвы, часто упоминая конфиденциальные видеозаписи жертвы, а также ссылки на скачивание сжатых файлов RAR или ZIP. Несмотря на кажущуюся безвредность, при открытии они запускают цепочку заражения, включающую два загрузчика вредоносных программ, включая пакетный скрипт и командный скрипт. Командный скрипт отвечает за запуск инструмента Snake для кражи информации из контролируемого злоумышленником репозитория GitLab.
Сообщения, содержащие вредоносные ссылки, распространяются через сообщения Facebook.
Компания Cybereason выявила три варианта Snake, третий из которых представляет собой исполняемый файл, созданный PyInstaller и нацеленный на пользователей браузера Cốc Cốc, популярного во Вьетнаме.
После сбора логины и файлы cookie распространялись на различных платформах, включая Discord, GitHub и Telegram. Вредоносное ПО также атаковало аккаунты Facebook, извлекая информацию из файлов cookie, что может указывать на то, что захват аккаунта был преднамеренно использован для распространения вредоносного ПО.
По-видимому, кампания связана с хакерами из Вьетнама, поскольку, как сообщается, соглашение об именовании репозиториев, контролируемых злоумышленниками, включает вьетнамские ссылки в исходном коде, такие как «hoang.exe» или «hoangtuan.exe», или путь GitLab, который, по-видимому, ссылается на имя «Khoi Nguyen».
Cybereason также отметила, что вредоносное ПО также нацелено на другие браузеры, такие как Brave, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox и Opera.
Это открытие было сделано на фоне усиленного внимания к Facebook из-за предполагаемого отсутствия поддержки жертв взлома аккаунтов. Чтобы защитить себя, пользователям рекомендуется принять меры безопасности, особенно использовать сложные пароли и двухфакторную аутентификацию (2FA).
Ссылка на источник
Комментарий (0)