Facebook mesajları, tehdit aktörleri tarafından, kimlik bilgilerini ve diğer hassas verileri ele geçirmek üzere tasarlanmış Snake adlı Python tabanlı bir bilgi hırsızına yönelik kullanılıyor.
Cybereason araştırmacısı Kotaro Ogino, “Şüphelenmeyen kullanıcılardan toplanan kimlik bilgileri Discord, GitHub ve Telegram gibi farklı platformlara aktarılıyor.” söz konusu teknik bir raporda.
Kampanyaya ilişkin ayrıntılar ilk ortaya çıktı Ağustos 2023’te sosyal medya platformu X’te. Saldırılar, potansiyel kullanıcılara görünüşte zararsız RAR veya ZIP arşiv dosyalarının gönderilmesini gerektiriyor ve bu dosyalar, açıldığında enfeksiyon dizisini etkinleştiriyor.
Ara aşamalar iki indiriciyi (bir toplu komut dosyası ve bir cmd komut dosyası) içerir; ikincisi, aktör kontrollü bir GitLab deposundan bilgi çalan yazılımın indirilmesinden ve çalıştırılmasından sorumludur.
Cybereason, hırsızın üç farklı varyantını tespit ettiğini, üçüncüsünün ise PyInstaller tarafından derlenen yürütülebilir bir dosya olduğunu söyledi. Kötü amaçlı yazılım, Cốc Cốc dahil olmak üzere farklı web tarayıcılarından veri toplamak için tasarlandı ve bu da Vietnam’a odaklanıldığını gösteriyor.
Kimlik bilgileri ve çerezlerden oluşan toplanan bilgiler daha sonra Telegram Bot API aracılığıyla ZIP arşivi biçiminde dışarı aktarılır. Çalıcı aynı zamanda Facebook’a özel çerez bilgilerini de dağıtacak şekilde tasarlanmıştır; bu, tehdit aktörünün muhtemelen hesapları kendi amaçları doğrultusunda ele geçirmek istediğinin bir göstergesidir.
Vietnamca bağlantısı, GitHub ve GitLab depolarının adlandırma kuralı ve kaynak kodunun Vietnamca diline referanslar içermesi gerçeğiyle daha da destekleniyor.
Ogino, “Tüm varyantlar, Vietnam topluluğu tarafından yaygın olarak kullanılan, iyi bilinen bir Vietnam Tarayıcısı olan Cốc Cốc Tarayıcısını destekliyor” dedi.
Geçtiğimiz yıl boyunca, S1deload Stealer, MrTonyScam, NodeStealer ve VietCredCare’in de aralarında bulunduğu, Facebook çerezlerini hedef alan çok sayıda bilgi hırsızı ortaya çıktı.
Gelişme, Meta’nın kontrol altına alınmasıyla birlikte geliyor ABD’de eleştiri Hesapları hacklenen mağdurlara yardım edemedikleri için şirkete, hesap ele geçirme olaylarındaki “dramatik ve kalıcı artışa” karşı derhal harekete geçme çağrısında bulundu.
OALABS Research’e göre bu aynı zamanda tehdit aktörlerinin “klonlanmış bir oyun hilesi web sitesi, SEO zehirlenmesi ve GitHub’daki bir hatayı oyun korsanlarını Lua kötü amaçlı yazılımını çalıştırmaları için kandırmak için kullandıklarının” keşfedilmesinin ardından geldi.
Özellikle, kötü amaçlı yazılım operatörleri, bir depodaki bir sorunla ilişkili yüklenen bir dosyanın, sorunun hiçbir zaman kaydedilmediği senaryolarda bile devam etmesine izin veren bir GitHub güvenlik açığından yararlanıyor.
Araştırmacılar, “Bu, herkesin GitHub’daki herhangi bir git deposuna dosya yükleyebileceği ve doğrudan bağlantı dışında dosyanın var olduğuna dair herhangi bir iz bırakmayacağı anlamına geliyor.” söz konusuKötü amaçlı yazılımın eklenmesi, komuta ve kontrol (C2) iletişimlerine yönelik yeteneklerle donatılmış olarak gelir.