Mensagens do Facebook estão sendo usadas por atores de ameaça para um ladrão de informações baseado em Python, apelidado de Snake, que foi projetado para captar credenciais e outros dados sensíveis.
"As credenciais colhidas de usuários desavisados são transmitidas para diferentes plataformas como Discord, GitHub e Telegram", disse o pesquisador da Cybereason, Kotaro Ogino, em um relatório técnico.
Os ataques envolvem o envio de arquivos de arquivo RAR ou ZIP aparentemente inócuos para usuários em potencial que, ao abrir, ativam a sequência de infecção.
As etapas intermediárias envolvem dois downloaders - um script em lote e um script cmd – com este último responsável por baixar e executar o ladrão de informações de um repositório GitLab controlado pelo ator.
A Cybereason disse que detectou três variantes diferentes do ladrão, sendo a terceira um executável montado pelo PyInstaller.
O malware, por sua vez, foi projetado para coletar dados de diferentes navegadores web, incluindo o Cốc Cốc, sugerindo um foco vietnamita.
As informações coletadas, que incluem credenciais e cookies, são então exfiltradas na forma de um arquivo ZIP através da API Bot do Telegram.
O ladrão também foi projetado para descarregar informações de cookies específicos do Facebook, indicando que o ator da ameaça provavelmente está procurando sequestrar as contas para seus próprios fins.
A conexão vietnamita é ainda mais fortalecida pela convenção de nomenclatura dos repositórios GitHub e GitLab e pelo fato de que o código fonte contém referências ao idioma vietnamita.
"Todas as variantes suportam o navegador Cốc Cốc, que é um navegador vietnamita bem conhecido e amplamente usado pela comunidade vietnamita", disse Ogino.
No último ano, vários ladrões de informações direcionados aos cookies do Facebook apareceram na natureza, incluindo o S1deload Stealer, MrTonyScam, NodeStealer e VietCredCare.
O desenvolvimento surge à medida que a Meta tem sido criticada nos EUA por não ajudar as vítimas cujas contas foram hackeadas, pedindo que a empresa tome medidas imediatas para lidar com uma "alta dramática e persistente" nos incidentes de tomada de conta.
Também se segue à descoberta de que os atores de ameaças estão "usando um site clonado de trapaças para jogos, envenenamento de SEO, e um bug no GitHub para enganar possíveis hackers de jogos a executar malware Lua", de acordo com a pesquisa da OALABS.
Especificamente, os operadores de malware estão explorando uma vulnerabilidade do GitHub que permite que um arquivo enviado associado a um problema em um repositório persista mesmo em cenários onde o problema nunca é salvo.
"Isso significa que qualquer um pode enviar um arquivo para qualquer repositório git no GitHub, e não deixar qualquer rastro de que o arquivo existe, exceto pelo link direto", disseram os pesquisadores, acrescentando que o malware vem equipado com capacidades para comunicações de comando e controle (C2).
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...