Según TechRadar , un nuevo estudio ha advertido que los malos están explotando los mensajes de Facebook para implementar una sofisticada herramienta de robo de información basada en Python llamada Snake.
En consecuencia, investigadores de la empresa de soluciones de seguridad Cybereason compartieron detalles de esta peligrosa campaña de ataque, afirmando que el objetivo principal de Snake es robar datos confidenciales y credenciales de inicio de sesión de usuarios ingenuos. Esta parece ser una campaña relativamente nueva, detectada por primera vez en agosto de 2023 y con indicios de estar dirigida a usuarios vietnamitas.
En cuanto a los métodos de ataque, los atacantes envían mensajes con contenido que despierta la curiosidad de la víctima, a menudo mencionando la exposición de un video sensible, junto con enlaces para descargar archivos comprimidos RAR o ZIP. Aunque aparentemente inofensivos, al abrirlos, desencadenan una cadena de infección que involucra dos descargadores de malware: un script por lotes y un script cmd. El script cmd es responsable de ejecutar la herramienta de robo de información Snake desde un repositorio de GitLab controlado por el atacante.
A través de mensajes de Facebook se difunden mensajes que contienen enlaces maliciosos.
Cybereason ha identificado tres variantes de Snake, siendo la tercera un ejecutable creado por PyInstaller y dirigido a los usuarios del navegador Cốc Cốc, que es popular en Vietnam.
Una vez recopilados, los datos de inicio de sesión y las cookies se compartieron en múltiples plataformas, como Discord, GitHub y Telegram. El malware también se dirigió a cuentas de Facebook extrayendo información de las cookies, lo que podría indicar que el robo de cuentas tenía como objetivo la propagación de malware.
La campaña parece estar vinculada a piratas informáticos de Vietnam, ya que se dice que la convención de nomenclatura de los repositorios controlados por los atacantes incluye referencias vietnamitas en el código fuente, como 'hoang.exe' o 'hoangtuan.exe', o la ruta de GitLab que parece hacer referencia al nombre 'Khoi Nguyen'.
Cybereason también señaló que el malware también ataca a otros navegadores como Brave, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox y Opera.
El descubrimiento se produce en medio de un creciente escrutinio sobre Facebook por su aparente falta de apoyo a las víctimas de robo de cuentas. Para protegerse, se recomienda a los usuarios tomar precauciones de seguridad, especialmente el uso de contraseñas complejas y la autenticación de dos factores (2FA).
[anuncio_2]
Enlace de origen
Kommentar (0)