Tin nhắn Facebook đang được sử dụng bởi các tác nhân đe dọa để phân phối một kẻ đánh cắp thông tin dựa trên Python có tên là Snake được thiết kế để nắm bắt thông tin đăng nhập và dữ liệu nhạy cảm khác.
"Thông tin đăng nhập thu thập được từ những người dùng không nghi ngờ được truyền đến các nền tảng khác nhau như Discord, GitHub và Telegram", nhà nghiên cứu Cybereason Kotaro Ogino cho biết trong một báo cáo kỹ thuật.
Thông tin chi tiết về chiến dịch lần đầu tiên xuất hiện trên nền tảng mạng xã hội X vào tháng 8/2023. Các cuộc tấn công đòi hỏi phải gửi cho người dùng tiềm năng các tệp lưu trữ RAR hoặc ZIP dường như vô hại, khi mở, kích hoạt trình tự lây nhiễm.
Các giai đoạn trung gian liên quan đến hai trình tải xuống - tập lệnh hàng loạt và tập lệnh cmd - với trình tải xuống chịu trách nhiệm tải xuống và thực thi trình đánh cắp thông tin từ kho lưu trữ GitLab do diễn viên kiểm soát.
Cybereason cho biết họ đã phát hiện ba biến thể khác nhau của kẻ đánh cắp, biến thể thứ ba là một tệp thực thi được lắp ráp bởi PyInstaller. Về phần mình, phần mềm độc hại được thiết kế để thu thập dữ liệu từ các trình duyệt web khác nhau, bao gồm cả Cốc Cốc, cho thấy trọng tâm là tiếng Việt.
Thông tin được thu thập, bao gồm thông tin đăng nhập và cookie, sau đó được trích xuất dưới dạng kho lưu trữ ZIP thông qua API Telegram Bot. Kẻ đánh cắp cũng được thiết kế để đổ thông tin cookie cụ thể cho Facebook, một dấu hiệu cho thấy tác nhân đe dọa có khả năng đang tìm cách chiếm đoạt tài khoản cho mục đích riêng của họ.
Kết nối tiếng Việt được củng cố thêm bởi quy ước đặt tên của kho GitHub và GitLab và thực tế là mã nguồn chứa các tham chiếu đến ngôn ngữ tiếng Việt.
"Tất cả các biến thể đều hỗ trợ Trình duyệt Cốc Cốc, một Trình duyệt tiếng Việt nổi tiếng được cộng đồng người Việt Nam sử dụng rộng rãi", ông Ogino nói.
Trong năm qua, nhiều kẻ đánh cắp thông tin nhắm vào cookie Facebook đã xuất hiện trong tự nhiên, bao gồm S1deload Stealer, MrTonyScam, NodeStealer và VietCredCare.
Diễn biến này diễn ra trong bối cảnh Meta đang bị chỉ trích ở Mỹ vì không hỗ trợ các nạn nhân có tài khoản bị tấn công, kêu gọi công ty hành động ngay lập tức để giải quyết "sự gia tăng đột biến và dai dẳng" trong các sự cố chiếm đoạt tài khoản.