Una nueva investigación ha revelado que los actores de amenazas están aprovechando los mensajes de Facebook para implementar un sofisticado ladrón de información basado en Python, conocido como Snake.
Investigadores de ciberasón han compartido detalles del ataque, lo que indica que el objetivo principal de Snake es capturar datos confidenciales y credenciales de usuarios desprevenidos.
Parece ser una campaña relativamente nueva, que salió a la luz por primera vez en X en agosto de 2023 y muestra un sesgo hacia las víctimas vietnamitas.
Ladrón de información de Facebook dirigido a usuarios vietnamitas
El ataque utiliza archivos RAR o ZIP aparentemente inofensivos que, una vez abiertos, desencadenan una secuencia de infección que involucra dos descargadores adicionales: un script por lotes y un script cmd. El script cmd es responsable de ejecutar el robo de información Snake desde un repositorio de GitLab controlado por actores.
Cybereason ha identificado tres variantes distintas del ladrón de información Snake: la tercera es un ejecutable ensamblado por PyInstaller y está dirigido a los usuarios del navegador Coc Coc, lo que sugiere un enfoque específico en los usuarios vietnamitas.
Una vez recopiladas, las credenciales y las cookies se comparten a través de numerosas plataformas, incluidas Discord, GitHub y Telegram.
El malware también apunta a cuentas de Facebook extrayendo información de cookies, lo que podría indicar el objetivo de secuestrar cuentas, potencialmente con fines maliciosos.
La conexión con Vietnam se ve reforzada aún más por las convenciones de nomenclatura de los repositorios controlados por los actores, que supuestamente hacen referencia al idioma vietnamita en el código fuente.
Cybereason también señaló que el malware se dirige a otros navegadores utilizados a nivel mundial, incluidos Brave, Chromium, Google navegador Chrome, microsoft Edge, Mozilla Firefox y el navegador web Opera.
El descubrimiento se produce en medio de un mayor escrutinio de Facebook por su aparente fracaso en ayudar a las víctimas de apropiación de cuentas.
TechRadar Pro ha pedido a Meta que comparta información sobre cómo los usuarios pueden aumentar su protección contra este tipo de ataques y si la empresa tiene algún plan para prevenir futuros ataques. Mientras tanto, los usuarios pueden seguir las mejores prácticas para ayudar a proteger sus cuentas, incluido el uso de contraseñas complejas y autenticación de dos factores (2FA).