Facebook na Mira: Malware Snake baseado em Python Rouba Dados Sensíveis
7 de Março de 2024

Mensagens do Facebook estão sendo usadas por atores de ameaça para um ladrão de informações baseado em Python, apelidado de Snake, que foi projetado para captar credenciais e outros dados sensíveis.

"As credenciais colhidas de usuários desavisados são transmitidas para diferentes plataformas como Discord, GitHub e Telegram", disse o pesquisador da Cybereason, Kotaro Ogino, em um relatório técnico.

Os ataques envolvem o envio de arquivos de arquivo RAR ou ZIP aparentemente inócuos para usuários em potencial que, ao abrir, ativam a sequência de infecção.

As etapas intermediárias envolvem dois downloaders - um script em lote e um script cmd – com este último responsável por baixar e executar o ladrão de informações de um repositório GitLab controlado pelo ator.

A Cybereason disse que detectou três variantes diferentes do ladrão, sendo a terceira um executável montado pelo PyInstaller.

O malware, por sua vez, foi projetado para coletar dados de diferentes navegadores web, incluindo o Cốc Cốc, sugerindo um foco vietnamita.

As informações coletadas, que incluem credenciais e cookies, são então exfiltradas na forma de um arquivo ZIP através da API Bot do Telegram.

O ladrão também foi projetado para descarregar informações de cookies específicos do Facebook, indicando que o ator da ameaça provavelmente está procurando sequestrar as contas para seus próprios fins.

A conexão vietnamita é ainda mais fortalecida pela convenção de nomenclatura dos repositórios GitHub e GitLab e pelo fato de que o código fonte contém referências ao idioma vietnamita.

"Todas as variantes suportam o navegador Cốc Cốc, que é um navegador vietnamita bem conhecido e amplamente usado pela comunidade vietnamita", disse Ogino.

No último ano, vários ladrões de informações direcionados aos cookies do Facebook apareceram na natureza, incluindo o S1deload Stealer, MrTonyScam, NodeStealer e VietCredCare.

O desenvolvimento surge à medida que a Meta tem sido criticada nos EUA por não ajudar as vítimas cujas contas foram hackeadas, pedindo que a empresa tome medidas imediatas para lidar com uma "alta dramática e persistente" nos incidentes de tomada de conta.

Também se segue à descoberta de que os atores de ameaças estão "usando um site clonado de trapaças para jogos, envenenamento de SEO, e um bug no GitHub para enganar possíveis hackers de jogos a executar malware Lua", de acordo com a pesquisa da OALABS.

Especificamente, os operadores de malware estão explorando uma vulnerabilidade do GitHub que permite que um arquivo enviado associado a um problema em um repositório persista mesmo em cenários onde o problema nunca é salvo.

"Isso significa que qualquer um pode enviar um arquivo para qualquer repositório git no GitHub, e não deixar qualquer rastro de que o arquivo existe, exceto pelo link direto", disseram os pesquisadores, acrescentando que o malware vem equipado com capacidades para comunicações de comando e controle (C2).

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...