Ladrón de información de serpientes
Los actores de amenazas están utilizando mensajes de Facebook para difundir un ladrón de información basado en Python conocido como Snake. Esta herramienta maliciosa está diseñada para capturar datos confidenciales, incluidas las credenciales. Las credenciales robadas se transmiten posteriormente a varias plataformas, como Discord, GitHub y Telegram.
Los detalles sobre esta campaña aparecieron inicialmente en la plataforma de redes sociales X en agosto de 2023. El modus operandi implica el envío de archivos RAR o ZIP potencialmente inofensivos a víctimas desprevenidas. Al abrir estos archivos, se desencadena la secuencia de infección. El proceso consta de dos etapas intermedias que emplean descargadores: un script por lotes y un script cmd. Este último es responsable de buscar y ejecutar el ladrón de información desde un repositorio de GitLab controlado por el actor de la amenaza.
Varias versiones del Infostealer de serpientes desenterradas por investigadores
Los expertos en seguridad han identificado tres versiones distintas del ladrón de información, y la tercera variante se compila como ejecutable a través de PyInstaller. En particular, el malware está diseñado para extraer datos de varios navegadores web, incluido Cốc Cốc, lo que implica un enfoque en objetivos vietnamitas.
Los datos recopilados, que incluyen tanto credenciales como cookies, se transmiten posteriormente en forma de archivo ZIP utilizando la API de Telegram Bot. Además, el ladrón está configurado para extraer específicamente información de cookies vinculada a Facebook, lo que sugiere una intención de comprometer y manipular cuentas de usuario con fines maliciosos.
La conexión vietnamita se evidencia aún más en las convenciones de nomenclatura de los repositorios GitHub y GitLab, junto con referencias explícitas al idioma vietnamita en el código fuente. Vale la pena señalar que todas las variantes del ladrón son compatibles con el navegador Cốc Cốc, un navegador web ampliamente utilizado dentro de la comunidad vietnamita.
Los actores de amenazas continúan explotando servicios legítimos para sus fines
El año pasado, surgieron una serie de ladrones de información dirigidos a las cookies de Facebook, incluidos S1deload S t ealer, MrTonyScam, NodeStealer y VietCredCare .
Esta tendencia coincide con un mayor escrutinio de Meta en los EE. UU., donde la compañía ha enfrentado críticas por su aparente fracaso en ayudar a las víctimas de cuentas pirateadas. Se han hecho llamamientos para que Meta aborde rápidamente los crecientes y persistentes incidentes de apropiación de cuentas.
Además de estas preocupaciones, se ha descubierto que los actores de amenazas están empleando varias tácticas, como un sitio web de trampas de juegos clonado, envenenamiento de SEO y un error de GitHub, para engañar a posibles piratas informáticos de juegos para que ejecuten el malware Lua. En particular, los operadores de malware explotan una vulnerabilidad de GitHub que permite que un archivo cargado asociado con un problema en un repositorio persista, incluso si el problema no se guarda.
Esto implica que las personas pueden cargar un archivo en cualquier repositorio de GitHub sin dejar rastro, excepto el enlace directo. El malware está equipado con capacidades de comunicación de comando y control (C2), lo que agrega otra capa de sofisticación a estas actividades amenazantes.
