{"id":1182790,"date":"2024-03-07T06:44:38","date_gmt":"2024-03-07T08:44:38","guid":{"rendered":"https:\/\/teknomers.com\/fr\/un-nouveau-voleur-dinformations-sur-snake-base-sur-python-se-propage-via-les-messages-facebook\/"},"modified":"2024-03-07T06:44:43","modified_gmt":"2024-03-07T08:44:43","slug":"un-nouveau-voleur-dinformations-sur-snake-base-sur-python-se-propage-via-les-messages-facebook","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/un-nouveau-voleur-dinformations-sur-snake-base-sur-python-se-propage-via-les-messages-facebook\/","title":{"rendered":"Un nouveau voleur d’informations sur Snake bas\u00e9 sur Python se propage via les messages Facebook"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>07 mars 2024<\/span>\ue804<\/i>R\u00e9daction<\/span><\/span>Vuln\u00e9rabilit\u00e9 \/ Voleur d’informations<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Les messages Facebook sont utilis\u00e9s par les acteurs de la menace pour un voleur d’informations bas\u00e9 sur Python, baptis\u00e9 Snake, con\u00e7u pour capturer des informations d’identification et d’autres donn\u00e9es sensibles.<\/p>\n

“Les informations d’identification collect\u00e9es aupr\u00e8s d’utilisateurs sans m\u00e9fiance sont transmises \u00e0 diff\u00e9rentes plateformes telles que Discord, GitHub et Telegram”, a d\u00e9clar\u00e9 Kotaro Ogino, chercheur \u00e0 Cybereason. dit<\/a> dans un rapport technique.<\/p>\n

D\u00e9tails sur la campagne apparu pour la premi\u00e8re fois<\/a> sur la plateforme de m\u00e9dias sociaux X en ao\u00fbt 2023. Les attaques consistent \u00e0 envoyer aux utilisateurs potentiels des fichiers d’archives RAR ou ZIP apparemment inoffensifs qui, une fois ouverts, activent la s\u00e9quence d’infection.<\/p>\n

Les \u00e9tapes interm\u00e9diaires impliquent deux t\u00e9l\u00e9chargeurs \u2013 un script batch et un script cmd \u2013 ce dernier \u00e9tant responsable du t\u00e9l\u00e9chargement et de l’ex\u00e9cution du voleur d’informations \u00e0 partir d’un r\u00e9f\u00e9rentiel GitLab contr\u00f4l\u00e9 par un acteur.<\/p>\n

\"La<\/a><\/center><\/div>\n

Cybereason a d\u00e9clar\u00e9 avoir d\u00e9tect\u00e9 trois variantes diff\u00e9rentes du voleur, la troisi\u00e8me \u00e9tant un ex\u00e9cutable assembl\u00e9 par PyInstaller. Le malware, quant \u00e0 lui, est con\u00e7u pour collecter des donn\u00e9es provenant de diff\u00e9rents navigateurs Web, dont C\u1ed1c C\u1ed1c, ce qui sugg\u00e8re une orientation vietnamienne.<\/p>\n

Les informations collect\u00e9es, qui comprennent les identifiants et les cookies, sont ensuite exfiltr\u00e9es sous la forme d’une archive ZIP via l’API Telegram Bot. Le voleur est \u00e9galement con\u00e7u pour vider les informations des cookies sp\u00e9cifiques \u00e0 Facebook, ce qui indique que l’acteur malveillant cherche probablement \u00e0 d\u00e9tourner les comptes \u00e0 ses propres fins.<\/p>\n

La connexion vietnamienne est encore renforc\u00e9e par la convention de d\u00e9nomination des r\u00e9f\u00e9rentiels GitHub et GitLab et par le fait que le code source contient des r\u00e9f\u00e9rences \u00e0 la langue vietnamienne.<\/p>\n

\"Voleur<\/a><\/div>\n

“Toutes les variantes prennent en charge le navigateur C\u1ed1c C\u1ed1c, qui est un navigateur vietnamien bien connu et largement utilis\u00e9 par la communaut\u00e9 vietnamienne”, a d\u00e9clar\u00e9 Ogino.<\/p>\n

Au cours de l’ann\u00e9e \u00e9coul\u00e9e, plusieurs voleurs d’informations ciblant les cookies de Facebook sont apparus dans la nature, notamment S1deload Stealer, MrTonyScam, NodeStealer et VietCredCare.<\/p>\n

Le d\u00e9veloppement intervient alors que Meta est devenu critiques aux \u00c9tats-Unis<\/a> pour ne pas avoir aid\u00e9 les victimes dont les comptes ont \u00e9t\u00e9 pirat\u00e9s, appelant l’entreprise \u00e0 prendre des mesures imm\u00e9diates pour faire face \u00e0 une \u00ab hausse dramatique et persistante \u00bb des incidents de piratage de comptes.<\/p>\n

\"La<\/a><\/center><\/div>\n

Cela fait \u00e9galement suite \u00e0 une d\u00e9couverte selon laquelle les acteurs malveillants \u00ab utilisent un site Web de triche de jeu clon\u00e9, un empoisonnement du r\u00e9f\u00e9rencement et un bug dans GitHub pour inciter les pirates de jeu potentiels \u00e0 ex\u00e9cuter le logiciel malveillant Lua \u00bb, selon OALABS Research.<\/p>\n

Plus pr\u00e9cis\u00e9ment, les op\u00e9rateurs de logiciels malveillants exploitent une vuln\u00e9rabilit\u00e9 GitHub qui permet \u00e0 un fichier t\u00e9l\u00e9charg\u00e9 associ\u00e9 \u00e0 un probl\u00e8me sur un r\u00e9f\u00e9rentiel de persister m\u00eame dans des sc\u00e9narios o\u00f9 le probl\u00e8me n’est jamais enregistr\u00e9.<\/p>\n

“Cela signifie que n’importe qui peut t\u00e9l\u00e9charger un fichier vers n’importe quel d\u00e9p\u00f4t git sur GitHub, sans laisser aucune trace de l’existence du fichier, \u00e0 l’exception du lien direct”, expliquent les chercheurs. dit<\/a>en ajoutant que le malware est dot\u00e9 de capacit\u00e9s de communication de commande et de contr\u00f4le (C2).<\/p>\n

<\/p>\n

Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur Twitter \uf099<\/i><\/a> et LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n