Voleur d'informations sur le serpent

Les acteurs malveillants utilisent les messages Facebook pour diffuser un voleur d'informations basé sur Python connu sous le nom de Snake. Cet outil malveillant est conçu pour capturer des données sensibles, y compris les informations d'identification. Les identifiants volés sont ensuite transmis à diverses plateformes, telles que Discord, GitHub et Telegram.

Les détails de cette campagne ont été initialement révélés sur la plateforme de médias sociaux X en août 2023. Le mode opératoire consiste à envoyer des fichiers d'archives RAR ou ZIP potentiellement inoffensifs à des victimes sans méfiance. Dès l’ouverture de ces fichiers, la séquence d’infection est déclenchée. Le processus comprend deux étapes intermédiaires employant des téléchargeurs : un script batch et un script cmd. Ce dernier est chargé de récupérer et d’exécuter le voleur d’informations à partir d’un référentiel GitLab contrôlé par l’acteur menaçant.

Plusieurs versions du Snake Infostealer découvertes par des chercheurs

Les experts en sécurité ont identifié trois versions distinctes du voleur d'informations, la troisième variante étant compilée sous forme d'exécutable via PyInstaller. Le malware est notamment conçu pour extraire des données de divers navigateurs Web, notamment Cốc Cốc, ce qui implique une concentration sur les cibles vietnamiennes.

Les données collectées, comprenant à la fois les informations d'identification et les cookies, sont ensuite transmises sous la forme d'une archive ZIP à l'aide de l'API Telegram Bot. De plus, le voleur est configuré pour extraire spécifiquement les informations des cookies liés à Facebook, suggérant une intention de compromettre et de manipuler les comptes d'utilisateurs à des fins malveillantes.

La connexion vietnamienne est également mise en évidence par les conventions de dénomination des référentiels GitHub et GitLab, ainsi que par les références explicites à la langue vietnamienne dans le code source. Il convient de noter que toutes les variantes du voleur sont compatibles avec le navigateur Cốc Cốc, un navigateur Web largement utilisé au sein de la communauté vietnamienne.

Les acteurs de la menace continuent d’exploiter des services légitimes à leurs propres fins

Au cours de la dernière année, une série de voleurs d'informations ciblant les cookies de Facebook ont fait surface, notamment S1deload Stealer , MrTonyScam, NodeStealer et VietCredCare .

Cette tendance coïncide avec une surveillance accrue de Meta aux États-Unis, où la société a été critiquée pour son échec perçu à aider les victimes de comptes piratés. Des appels ont été lancés pour que Meta traite rapidement les incidents croissants et persistants de rachats de comptes.

En plus de ces préoccupations, il a été découvert que les acteurs malveillants emploient diverses tactiques, telles qu'un site Web de triche de jeu cloné, un empoisonnement du référencement et un bug GitHub, pour inciter les pirates de jeu potentiels à exécuter le logiciel malveillant Lua. Notamment, les opérateurs de logiciels malveillants exploitent une vulnérabilité de GitHub qui permet à un fichier téléchargé associé à un problème sur un référentiel de persister, même si le problème n'est pas enregistré.

Cela implique que les individus peuvent télécharger un fichier sur n'importe quel référentiel GitHub sans laisser de trace, à l'exception du lien direct. Le malware est équipé de capacités de communication de commande et de contrôle (C2), ajoutant une autre couche de sophistication à ces activités menaçantes.