Змея: Info Stealer - новый вредоносный инструмент распространяется через сообщения на Facebook

Ученые предупреждают, что злоумышленники используют сообщения Facebook для распространения вредоносной программы-вора информации на базе языка программирования Python, получившей название Snake. Исследователи из Cybereason обратили внимание на то, что злоумышленники используют три различных варианта вредоносной программы на базе Python. Два из них представляют собой обычные скрипты языка Python, а третий вариант является исполняемым файлом, созданным с помощью PyInstaller. После того, как вредоносная программа получает учетные данные с зараженной системы, она передает их на различные платформы, такие как Discord, GitHub и Telegram, злоупотребляя их API. Кампания активна как минимум с августа 2023 года, когда об этом сообщил исследователь в области кибербезопасности на платформе X.

Злоумышленники отправляют личные сообщения в Facebook мессенджере жертвам в попытке обмануть их и заставить скачать архивные файлы, такие как RAR или ZIP. В архивах содержатся два загрузчика: пакетный сценарий и сценарий cmd, а в качестве конечного загрузчика используется соответствующий вариант вредоносной программы на базе Python на системе жертвы. "Архивный файл содержит сценарий BAT, который инициирует цепочку инфицирования. Сценарий BAT пытается скачать ZIP-файл с помощью команды cURL и помещает его под именем myFile.zip в каталог C:\Users\Public. Затем сценарий BAT запускает другую команду PowerShell Expand-Archive для извлечения сценария CMD vn.cmd из ZIP-файла и продолжает инфицирование", - гласит отчет, опубликованный Cybereason.

Вредоносная программа может собирать конфиденциальные данные из различных веб-браузеров, включая: Brave Coc Coc Browser, Chromium, Google Chrome Browser, Microsoft Edge, Mozilla Firefox и Opera Web Browser. Стоит отметить, что браузер Coc Coc Browser широко используется во вьетнамском сообществе. Выбор этого браузера также говорит о том, что в определенный момент был специфический спрос на вьетнамское сообщество. Исследователи заметили, что вредоносная программа также способна собирать информацию о файлах cookie, относящихся к Facebook. "Кроме того, куки и информацию о подтверждениях учетных данных, проект.py сохраняет информацию о файлах cookie, относящихся к Facebook в файл cookiefb.txt. Вероятно, это делается злоумышленниками, чтобы завладеть учетной записью жертвы на Facebook и, возможно, распространить инфекцию дальше", - говорится в отчете. Исследователи указывают на то, что эту кампанию можно приписать вьетнамскоговорящим лицам на основании нескольких индикаторов, включая комментарии в скриптах, именование файлов и наличие браузера Coc Coc Browser в списке целевых браузеров. В отчете также представлено сопоставление с MITRE ATT&CK для этой кампании.