Nuovo Snake Info Stealer: Un Malware Python che si Diffonde Attraverso Messaggi su Facebook
Un nuovo tipo di minaccia informatica ha fatto la sua comparsa nei messaggi di Facebook, mettendo a rischio la sicurezza dei suoi utenti.
Si tratta di Snake Info Stealer, un malware basato su Python progettato per rubare informazioni sensibili e credenziali personali.
Secondo quanto riferito dai ricercatori di Cybereason, Snake è stato progettato per rubare dati sensibili dagli utenti ignari e trasmetterli su piattaforme come Discord, GitHub e Telegram.
Il modus operandi di questo malware coinvolge l’invio di file di archivio RAR o ZIP apparentemente innocui, che una volta aperti avviano la sequenza di infezione.
Le fasi intermedie coinvolgono due script di download: uno batch e uno cmd, quest’ultimo responsabile del download ed esecuzione del malware da un repository GitLab controllato dall’attore della minaccia.
Cybereason ha individuato tre diverse varianti di Snake, di cui la terza è un eseguibile assemblato da PyInstaller.
Il malware è progettato per raccogliere dati da diversi browser web, inclusi Cốc Cốc, suggerendo un interesse particolare per la comunità vietnamita.
Le informazioni raccolte, che includono credenziali e cookie, vengono esfiltrate sotto forma di un file ZIP tramite l’API del bot di Telegram.
Snake è in grado anche di estrarre le informazioni specifiche dei cookie di Facebook, suggerendo che l’attore della minaccia potrebbe cercare di dirottare gli account per i propri scopi illeciti.
La connessione vietnamita è ulteriormente supportata dalla convenzione di denominazione dei repository GitHub e GitLab e dal fatto che il codice sorgente contiene riferimenti alla lingua vietnamita.
Secondo Kotaro Ogino di Cybereason, tutte le varianti di Snake supportano il browser Cốc Cốc, ampiamente utilizzato dalla comunità vietnamita.
Negli ultimi tempi, sono emersi diversi stealer di informazioni mirati ai cookie di Facebook, tra cui S1deload Stealer, MrTonyScam, NodeStealer e VietCredCare.
Questo sviluppo arriva in un momento in cui Meta è sotto accusa negli Stati Uniti per non aver assistito le vittime il cui account è stato violato, chiedendo all’azienda di prendere provvedimenti immediati per affrontare un “aumento drammatico e persistente” degli incidenti di takeover degli account.
Seguendo una scoperta che gli attori della minaccia stanno utilizzando un sito web di trucchi per giochi clonato, veleno SEO e un bug in GitHub per ingannare i potenziali hacker di giochi a eseguire il malware Lua, secondo quanto riportato da OALABS Research.
In particolare, gli operatori di malware stanno sfruttando una vulnerabilità di GitHub che consente a un file caricato associato a un problema su un repository di persistere anche in scenari in cui il problema non viene mai salvato.
Questo significa che chiunque può caricare un file su qualsiasi repository git su GitHub, e non lasciare alcuna traccia che il file esiste tranne per il link diretto,hanno detto i ricercatori, aggiungendo che il malware è dotato di capacità per le comunicazioni di comando e controllo (C2).
Questa nuova minaccia rappresenta un ulteriore avvertimento per gli utenti di Facebook e di altre piattaforme sociali, evidenziando l’importanza di mantenere la propria sicurezza informatica e di essere sempre vigili nei confronti di potenziali attacchi informatici.
Mentre gli esperti di sicurezza informatica lavorano per identificare e contrastare le minacce online, è fondamentale che gli utenti adottino le migliori pratiche di sicurezza, come l’installazione di software antivirus aggiornato e l’evitare di aprire file o link sospetti.