A nova ameaça surgiu visando usuários desavisados do Facebook Messenger. O Snake Python Infostealer é um novo malware que se destaca por sua capacidade de roubar credenciais de forma sofisticada.
Distribuído principalmente através de mensagens maliciosas no Facebook Messenger, o malware visa usuários desavisados e pode ter sérias consequências para a segurança da informação.
O abuso de sites legítimos está no centro da estratégia do Snake Python Infostealer.
Os atores de ameaças exploram a confiança que os usuários depositam em repositórios públicos e aplicativos de mensagens confiáveis, usando-os como parte de sua infraestrutura de Comando e Controle (C2).
Isso torna o uso malicioso de repositórios baseados na Web, como GitHub e GitLab, particularmente insidioso, pois pode ser difícil de detectar.
A infecção começa com uma mensagem aparentemente inócua do Facebook Messenger, incentivando as vítimas a baixar arquivos arquivados.
Esses arquivos iniciam um processo de infecção em dois estágios, implantando uma das três variantes do Python Infostealer, cada uma com suas características e métodos de operação exclusivos.
O mais recente Relatório de Análise de Ameaças da Cybereason Security Services ilumina esse desenvolvimento alarmante e oferece insights e recomendações para proteção contra esse predador digital.
Um Trio De Ameaças
O Python Infostealer vem em três variantes, mostrando a adaptabilidade e astúcia de seus criadores. As duas primeiras variantes são scripts Python regulares, enquanto a terceira se transforma em um executável montado pelo PyInstaller para maior alcance e impacto.
Apesar das diferenças, todas as variantes compartilham um objetivo comum de coletar e exfiltrar credenciais de usuários para plataformas como Discord, GitHub e Telegram.
Ações | 1ª Variante | 2ª Variante | 3ª Variante |
Solicitação GET para ipinfo[.]io para identificar a geolocalização da vítima. | ✔ | ✘ | ✘ |
Agrupado por PyInstaller | ✘ | ✘ | ✔ |
Não depende de pacotes Python para serem instalados localmente | ✔ | ✔ | ✔ |
Implantar arquivos no subdiretório de C:\Users\Public | ✔ | ✔ | ✘ |
Ofuscação de função e nome de variável | ✘ | ✔ | ✔ |
Ofuscação via compactação de dados | ✔ | ✘ | ✘ |
Persistência via pasta de inicialização | ✔ | ✔ | ✔ |
Cargas preparadas | ✘ | ✔ | ✔ |
Alvos corajosos | ✔ | ✘ | ✘ |
Tem como alvo o navegador Cốc Cốc | ✔ | ✔ | ✔ |
Tem como alvo o Chromium | ✔ | ✘ | ✘ |
Visa cookies do Facebook | ✔ | ✔ | ✔ |
Tem como alvo o navegador Google Chrome | ✔ | ✔ | ✔ |
Tem como alvo o navegador Microsoft Edge | ✔ | ✔ | ✔ |
Tem como alvo o navegador Mozilla Firefox | ✔ | ✘ | ✘ |
Tem como alvo o navegador Opera | ✔ | ✘ | ✘ |
Um aspecto particularmente alarmante da operação do Python Infostealer é o uso de plataformas legítimas para transmitir credenciais roubadas.
Ao explorar a API do Telegram Bot e outros aplicativos de mensagens, o malware envia os dados coletados aos agentes da ameaça, tornando a detecção e a prevenção mais desafiadoras para as equipes de segurança. O surgimento do Python Infostealer como uma ameaça aos usuários do Facebook Messenger destaca o cenário em evolução das ameaças cibernéticas. Estes predadores digitais representam um perigo real e presente ao aproveitar plataformas legítimas e empregar táticas sofisticadas.
Vigilância, educação e medidas de segurança robustas são fundamentais na proteção contra esses ataques insidiosos.
Funcionalidades e Alvos:
Roubo de Credenciais: O Snake captura dados de login de diversos navegadores, incluindo Chrome, Firefox, Edge, Brave e Coc Coc. Além disso, o malware também coleta cookies específicos do Facebook, expandindo seu alcance para informações confidenciais da plataforma.
Execução Silenciosa: O Snake opera de forma furtiva, dificultando sua detecção pelos usuários. Ele se esconde em arquivos compactados e usa técnicas de ofuscação para evitar a análise de softwares antivírus.
Variantes e Distribuição: O malware apresenta três variantes diferentes, com a última sendo um executável compilado com PyInstaller. Sua distribuição ocorre principalmente através de mensagens no Facebook Messenger, disfarçadas como arquivos legítimos para enganar os usuários.
Recomendações de Segurança:
Cuidado com Mensagens Suspeitas: Evite clicar em links ou baixar arquivos de fontes desconhecidas, especialmente no Facebook Messenger. Verifique a autenticidade da mensagem e do remetente antes de qualquer ação.
Atualização de Softwares: Mantenha seus navegadores e sistema operacional atualizados com as últimas correções de segurança. Isso ajuda a proteger contra vulnerabilidades exploradas por malwares como o Snake.
Antivirus e Antimalware: Utilize soluções de segurança confiáveis para proteger seu dispositivo contra malwares. Mantenha-as atualizadas e realize varreduras regulares para detectar e remover possíveis infecções.
Fontes e Informações Adicionais:
Unboxing Snake - Python Infostealer Lurking Through Messaging Services: https://www.cybereason.com/blog/unboxing-snake-python-infostealer-lurking-through-messaging-service (Cybereason)
New Python-Based Snake Info Stealer Spreading Through Facebook Messages: https://thehackernews.com/2024/03/new-python-based-snake-info-stealer.html (The Hacker News)
Novel Snake infostealer distributed through Facebook Messenger: https://www.scmagazine.com/brief/novel-snake-infostealer-distributed-through-facebook-messenger (SC Media)
Snake, a new Info Stealer spreads through Facebook messages: https://securityaffairs.com/160131/malware/snake-info-stealer.html (Security Affairs)
Beware Of New Snake Python Infostealer Attacking Facebook Messenger Users: https://gbhackers.com/python-attacking-facebook/ (GBHackers)