Selon TechRadar , une nouvelle étude a averti que des malfaiteurs exploitent les messages Facebook pour déployer un outil sophistiqué de vol d'informations basé sur Python appelé Snake.
Les chercheurs de l'entreprise de solutions de sécurité Cybereason ont ainsi partagé les détails de cette dangereuse campagne d'attaque, précisant que l'objectif principal de Snake est de voler des données sensibles et des identifiants de connexion à des utilisateurs naïfs. Il s'agit apparemment d'une campagne relativement récente, détectée pour la première fois en août 2023 et qui semble cibler les utilisateurs vietnamiens.
En termes de méthodes d'attaque, les attaquants envoient des messages dont le contenu pique la curiosité de la victime, mentionnant souvent l'exposition de vidéos sensibles, ainsi que des liens permettant de télécharger des fichiers compressés RAR ou ZIP. Bien qu'apparemment inoffensifs, leur ouverture déclenche une chaîne d'infection impliquant deux téléchargeurs de malwares, dont un script batch et un script cmd. Le script cmd est responsable de l'exécution de l'outil de vol d'informations Snake depuis un dépôt GitLab contrôlé par l'attaquant.
Des messages contenant des liens malveillants sont diffusés via des messages Facebook.
Cybereason a identifié trois variantes de Snake, la troisième étant un exécutable créé par PyInstaller et ciblant les utilisateurs du navigateur Cốc Cốc, populaire au Vietnam.
Une fois collectés, les identifiants et les cookies ont été partagés sur plusieurs plateformes, dont Discord, GitHub et Telegram. Le logiciel malveillant ciblait également les comptes Facebook en extrayant les informations des cookies, ce qui pourrait indiquer que le piratage de compte visait à propager des logiciels malveillants.
La campagne semble être liée à des pirates informatiques du Vietnam, car la convention de nommage des référentiels contrôlés par les attaquants inclurait des références vietnamiennes dans le code source, telles que « hoang.exe » ou « hoangtuan.exe », ou le chemin GitLab qui semble faire référence au nom « Khoi Nguyen ».
Cybereason a également noté que le malware cible également d'autres navigateurs tels que Brave, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox et Opera.
Cette découverte intervient dans un contexte de surveillance accrue de Facebook pour son manque apparent de soutien aux victimes de piratage de compte. Pour se protéger, il est conseillé aux utilisateurs de prendre des précautions de sécurité, notamment en utilisant des mots de passe complexes et l'authentification à deux facteurs (2FA).
Lien source
Comment (0)