Roban información a través de mensajes de Facebook

Comparte en ...

Roban información a través de mensajes de Facebook

Los hackers están utilizando mensajes de Facebook para robar información basado en Python llamado Snake, que está diseñado para capturar credenciales y datos confidenciales.

«Las credenciales obtenidas de usuarios desprevenidos se transmiten a diferentes plataformas como Discord, GitHub y Telegram», dijo en un informe Kotaro Ogino.

Los detalles sobre la campaña surgieron por primera vez en la plataforma de redes sociales X en agosto de 2023. Los ataques implican enviar a los posibles usuarios archivos RAR o ZIP aparentemente inofensivos que, al abrirlos, activan la secuencia de infección.

Diseñado robar cookies específica de Facebook

Las etapas intermedias involucran dos descargadores (un script por lotes y un script cmd), siendo este último responsable de descargar y ejecutar el ladrón de información desde un repositorio GitLab controlado por el actor.

Cybereason dijo que detectó tres variantes diferentes del ladrón, siendo la tercera un ejecutable ensamblado por PyInstaller. El malware, por su parte, está diseñado para recopilar datos de diferentes navegadores web, incluido Cốc Cốc, lo que sugiere un enfoque vietnamita.

La información recopilada, que incluye credenciales y cookies, luego se extrae en forma de archivo ZIP a través de la API de Telegram Bot.

El ladrón también está diseñado para volcar información de cookies específica de Facebook, una indicación de que el actor de la amenaza probablemente esté buscando secuestrar las cuentas para sus propios fines.

Conexión vietnamita

La conexión vietnamita se ve reforzada aún más por la convención de nomenclatura de los repositorios GitHub y GitLab y el hecho de que el código fuente contiene referencias al idioma vietnamita.

«Todas las variantes son compatibles con el navegador Cốc Cốc, que es un navegador vietnamita muy conocido y utilizado ampliamente por la comunidad vietnamita», dijo Ogino.

Durante el año pasado, aparecieron múltiples ladrones de información dirigidos a las cookies de Facebook, entre ellos S1deload Stealer , MrTonyScam , NodeStealer y VietCredCare .

El desarrollo se produce cuando Meta ha sido criticada en los EE. UU . por no ayudar a las víctimas cuyas cuentas han sido pirateadas, y ha pedido a la compañía que tome medidas inmediatas para abordar un «aumento dramático y persistente» en los incidentes de apropiación de cuentas.

Este malware aprovecha una vulnerabilidad

También sigue al descubrimiento de que los actores de amenazas están «utilizando un sitio web de trampas de juegos clonado, envenenamiento de SEO y un error en GitHub para engañar a los posibles hackers de juegos para que ejecuten malware Lua», según OALABS Research.

Específicamente, los operadores de malware están aprovechando una vulnerabilidad de GitHub que permite que un archivo cargado asociado con un problema en un repositorio persista incluso en escenarios donde el problema nunca se guarda.

«Esto significa que cualquiera puede cargar un archivo en cualquier repositorio git en GitHub y no dejar ningún rastro de que el archivo existe excepto el enlace directo», dijeron los investigadores , y agregaron que el malware viene equipado con capacidades de comando y control ( C2) comunicaciones.

 

¿Has encontrado a este artículo interesante? Puedes seguirnos en Facebook , Twitter LinkedIn para leer más contenido que publicamos o contáctanos.

Comparte en ...
Scroll al inicio