Vietnamesische Facebook-Nutzer sind Ziel der bösartigen „Snake“-Kampagne

Laut TechRadar warnt eine neue Studie davor, dass Kriminelle Facebook-Nachrichten ausnutzen, um ein ausgeklügeltes Infostealer-Tool auf Python-Basis namens Snake einzusetzen.

Dementsprechend veröffentlichten Forscher des Sicherheitslösungsunternehmens Cybereason Details dieser gefährlichen Angriffskampagne und erklärten, dass das Hauptziel von Snake darin bestehe, sensible Daten und Anmeldeinformationen naiver Benutzer zu stehlen. Es scheint sich um eine relativ neue Kampagne zu handeln, die erstmals im August 2023 entdeckt wurde und Anzeichen dafür zeigt, dass sie auf vietnamesische Benutzer abzielt.

Die Angreifer versenden Nachrichten mit Inhalten, die die Neugier des Opfers wecken. Oft wird dabei auf sensible Videoaufnahmen des Opfers hingewiesen, zusammen mit Links zum Download komprimierter RAR- oder ZIP-Dateien. Obwohl sie harmlos erscheinen, lösen sie beim Öffnen eine Infektionskette aus, an der zwei Malware-Downloader beteiligt sind, darunter ein Batch-Skript und ein Cmd-Skript. Das Cmd-Skript führt das Tool Snake aus, das Informationen aus einem vom Angreifer kontrollierten GitLab-Repository stiehlt.

Cybereason hat drei Varianten von Snake identifiziert, wobei die dritte eine von PyInstaller erstellte ausführbare Datei ist und auf Benutzer des in Vietnam beliebten Cốc Cốc-Browsers abzielt.

Nach der Erfassung wurden die Logins und Cookies über mehrere Plattformen hinweg geteilt, darunter Discord, GitHub und Telegram. Die Malware zielte auch auf Facebook-Konten ab, indem sie Cookie-Informationen extrahierte. Dies könnte darauf hindeuten, dass die Kontoübernahme zur Verbreitung von Malware genutzt werden sollte.

Die Kampagne scheint mit Hackern aus Vietnam in Verbindung zu stehen, da die Namenskonvention der von den Angreifern kontrollierten Repositories vietnamesische Referenzen im Quellcode enthalten soll, wie etwa „hoang.exe“ oder „hoangtuan.exe“, oder der GitLab-Pfad, der auf den Namen „Khoi Nguyen“ zu verweisen scheint.

Cybereason stellte außerdem fest, dass die Malware auch auf andere Browser wie Brave, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox und Opera abzielt.

Die Entdeckung erfolgte vor dem Hintergrund zunehmender Kritik an Facebook wegen mangelnder Unterstützung für Opfer von Account-Hijacking. Um sich zu schützen, wird Nutzern empfohlen, Sicherheitsvorkehrungen zu treffen, insbesondere komplexe Passwörter und Zwei-Faktor-Authentifizierung (2FA) zu verwenden.