スネーク・インフォスティーラー

脅威アクターは Facebook メッセージを利用して、Snake として知られる Python ベースの情報窃取ツールを広めています。この悪意のあるツールは、資格情報を含む機密データを取得するように作られています。盗まれた認証情報は、その後、Discord、GitHub、Telegram などのさまざまなプラットフォームに送信されます。

このキャンペーンの詳細は、2023 年 8 月にソーシャル メディア プラットフォーム X で最初に明らかになりました。その手口には、無害な可能性のある RAR または ZIP アーカイブ ファイルを疑いを持たない被害者に送信することが含まれます。これらのファイルを開くと、感染シーケンスがトリガーされます。このプロセスは、ダウンローダーを使用する 2 つの中間段階 (バッチ スクリプトと cmd スクリプト) で構成されます。後者は、脅威アクターが制御する GitLab リポジトリから情報スティーラーを取得して実行する役割を果たします。

研究者によって発掘された Snake Infostealer のいくつかのバージョン

セキュリティ専門家は、情報スティーラーの 3 つの異なるバージョンを特定しました。3 番目の亜種は、PyInstaller を通じて実行可能ファイルとしてコンパイルされました。注目すべき点は、このマルウェアは Cốc Cốc を含むさまざまな Web ブラウザからデータを抽出するように調整されており、ベトナム人をターゲットにしていることを示唆しています。

資格情報と Cookie の両方を含む収集されたデータは、Telegram Bot API を使用して ZIP アーカイブの形式で送信されます。さらに、このスティーラーは Facebook にリンクされた Cookie 情報を特別に抽出するように構成されており、悪意のある目的でユーザー アカウントを侵害して操作する意図を示唆しています。

ベトナム語との関連性は、GitHub および GitLab リポジトリの命名規則と、ソース コード内でのベトナム語への明示的な言及によってさらに証明されています。スティーラーのすべての亜種が、ベトナムのコミュニティ内で広く使用されている Web ブラウザーである Cốc Cốc Browser と互換性があることは注目に値します。

脅威アクターは目的のために正規のサービスを悪用し続けます

過去 1 年間で、 S1deload Stealer 、 MrTonyScam、 NodeStealer 、 VietCredCareなど、Facebook Cookie をターゲットとした一連の情報窃取者が出現しました。

この傾向は、米国で Meta に対する監視が高まっていることと一致しており、Meta はハッキングされたアカウントの被害者を支援していないとみなされて批判にさらされている。メタに対し、増え続けているアカウント乗っ取り事件に迅速に対処するよう求める声が上がっている。

これらの懸念に加えて、脅威アクターは、潜在的なゲームハッカーを騙して Lua マルウェアを実行させるために、クローンゲームのチート Web サイト、SEO ポイズニング、GitHub のバグなどのさまざまな戦術を使用していることが判明しました。特に、マルウェア オペレータは GitHub の脆弱性を悪用し、問題が保存されていなくても、リポジトリ上の問題に関連付けられたアップロードされたファイルを存続させることができます。

これは、直接リンクを除き、個人が痕跡を残さずに任意の GitHub リポジトリにファイルをアップロードできることを意味します。このマルウェアにはコマンド アンド コントロール (C2) 通信機能が装備されており、これらの脅威的な活動にさらに洗練された層が追加されています。