Les messages Facebook sont utilisés par les acteurs de la menace pour un voleur d’informations basé sur Python, baptisé Snake, conçu pour capturer des informations d’identification et d’autres données sensibles.
« Les informations d’identification collectées auprès d’utilisateurs sans méfiance sont transmises à différentes plateformes telles que Discord, GitHub et Telegram », a déclaré Kotaro Ogino, chercheur à Cybereason. dit dans un rapport technique.
Détails sur la campagne apparu pour la première fois sur la plateforme de médias sociaux X en août 2023. Les attaques consistent à envoyer aux utilisateurs potentiels des fichiers d’archives RAR ou ZIP apparemment inoffensifs qui, une fois ouverts, activent la séquence d’infection.
Les étapes intermédiaires impliquent deux téléchargeurs – un script batch et un script cmd – ce dernier étant responsable du téléchargement et de l’exécution du voleur d’informations à partir d’un référentiel GitLab contrôlé par un acteur.
Cybereason a déclaré avoir détecté trois variantes différentes du voleur, la troisième étant un exécutable assemblé par PyInstaller. Le malware, quant à lui, est conçu pour collecter des données provenant de différents navigateurs Web, dont Cốc Cốc, ce qui suggère une orientation vietnamienne.
Les informations collectées, qui comprennent les identifiants et les cookies, sont ensuite exfiltrées sous la forme d’une archive ZIP via l’API Telegram Bot. Le voleur est également conçu pour vider les informations des cookies spécifiques à Facebook, ce qui indique que l’acteur malveillant cherche probablement à détourner les comptes à ses propres fins.
La connexion vietnamienne est encore renforcée par la convention de dénomination des référentiels GitHub et GitLab et par le fait que le code source contient des références à la langue vietnamienne.
« Toutes les variantes prennent en charge le navigateur Cốc Cốc, qui est un navigateur vietnamien bien connu et largement utilisé par la communauté vietnamienne », a déclaré Ogino.
Au cours de l’année écoulée, plusieurs voleurs d’informations ciblant les cookies de Facebook sont apparus dans la nature, notamment S1deload Stealer, MrTonyScam, NodeStealer et VietCredCare.
Le développement intervient alors que Meta est devenu critiques aux États-Unis pour ne pas avoir aidé les victimes dont les comptes ont été piratés, appelant l’entreprise à prendre des mesures immédiates pour faire face à une « hausse dramatique et persistante » des incidents de piratage de comptes.
Cela fait également suite à une découverte selon laquelle les acteurs malveillants « utilisent un site Web de triche de jeu cloné, un empoisonnement du référencement et un bug dans GitHub pour inciter les pirates de jeu potentiels à exécuter le logiciel malveillant Lua », selon OALABS Research.
Plus précisément, les opérateurs de logiciels malveillants exploitent une vulnérabilité GitHub qui permet à un fichier téléchargé associé à un problème sur un référentiel de persister même dans des scénarios où le problème n’est jamais enregistré.
« Cela signifie que n’importe qui peut télécharger un fichier vers n’importe quel dépôt git sur GitHub, sans laisser aucune trace de l’existence du fichier, à l’exception du lien direct », expliquent les chercheurs. diten ajoutant que le malware est doté de capacités de communication de commande et de contrôle (C2).