Cybereason的研究人员警告说,威胁行为者正在利用Facebook消息传播Snake恶意软件,这是一种基于Python的信息窃取软件。研究人员注意到,威胁行为者正在维护三种不同的Python信息窃取变体。其中两种变体是常规的Python脚本,而第三种变体是由PyInstaller组装的可执行文件。
一旦恶意软件从被感染的系统中窃取了凭据,它就会通过滥用它们的APIs将这些凭据传输到不同的平台,如Discord、GitHub和Telegram。
自2023年8月以来,这一活动一直在进行,当时一位网络安全研究员在X上披露了此信息。恶意软件通过@facebook消息传播🤖 看起来是针对商业主的,使用假投诉+ZIP/rar文件夹和.bat文件作为诱饵,例如:/drive.google.com/uc?export=download&id=1uRaMFq3jVR3yhcdRbBvuGdq-jLBLKtTH 放置/kholapqua.com/Document.ziphttps://t.co/v874IhgzJP pic.twitter.com/Y9CpY8xyLU — idclickthat (@idclickthat) 2023年8月17日 威胁行为者通过Facebook Messenger直接消息发送给受害者,试图诱使他们下载如RAR或ZIP文件的归档文件。这些归档包含两个下载器,一个批处理脚本和一个cmd脚本,最终下载器用于在受害者的系统上部署适当的Python信息窃取变体。
“归档文件包含一个BAT脚本,这是启动感染链的第一个下载器。BAT脚本尝试通过cURL命令下载一个ZIP文件,将下载的文件放在C:UsersPublic目录下作为myFile.zip。然后,BAT脚本生成另一个PowerShell命令Expand-Archive,以从ZIP文件中提取CMD脚本vn.cmd,并继续其感染过程。”Cybereason发布的报告这样写道。“CMD脚本vn.cmd是负责下载和执行Python信息窃取软件的主要脚本。”
信息窃取软件能够从不同的网络浏览器收集敏感数据,包括:
Brave
Coc Coc 浏览器
Chromium
Google Chrome 浏览器
Microsoft Edge
Mozilla Firefox
Opera 网络浏览器
我要强调的是,Coc Coc 浏览器是越南社区广泛使用的浏览器。选择这款浏览器也表明,在某个时刻有特定的需求针对越南社区。研究人员注意到,信息窃取软件还能够收集特定于Facebook的cookie信息。
“除了cookies和凭证信息外,project.py还将特定于Facebook的cookie信息cookiefb.txt转储到磁盘。这种行为很可能是为了让威胁行为者劫持受害者的Facebook账户,可能用于扩大其感染范围。”报告继续说。
研究人员基于一些指标,包括脚本中的评论、命名规范以及目标浏览器列表中Coc Coc浏览器的存在,将这一活动归因于讲越南语的个人。
报告包括了这一活动的MITRE ATT&CK 映射。
原文始发于微信公众号(黑猫安全):SNAKE,一种新的信息窃取软件通过Facebook消息传播
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论