Thứ Năm ngày 13 tháng 6 năm 2024

Cybereason cảnh báo: đang có chiến dịch đánh cắp thông tin qua tin nhắn Facebook bằng công cụ Snake dựa trên Python

Trang The Hacker News ngày 7-3-2024 cho biết: các tin nhắn (message) của Facebook đang bị bọn xấu dùng để ăn cắp thông tin bằng công cụ tên là Snake, dựa trên ngôn ngữ lập trình Python. Snake được thiết kế để thu thập các thông tin xác thực và các dữ liệu nhạy cảm khác.

Nhà nghiên cứu Kotaro Ogino của Cybereason cho biết trong một báo cáo kỹ thuật: “Thông tin đăng nhập được thu thập từ những người dùng không nghi ngờ sẽ được truyền đến các nền tảng khác nhau như Discord, GitHub và Telegram.”

Ảnh do AI Microsoft Designer DALL-E 3 tạo. Thanks.

Chi tiết về chiến dịch tấn công của Snake đã xuất hiện lần đầu tiên trên nền tảng mạng xã hội X (tức Twitter cũ) hồi tháng 8-2023. Các cuộc tấn công đòi hỏi phải gửi cho nạn nhân tiềm năng các tệp lưu trữ được nén bằng định dạng RAR hoặc ZIP dường như vô hại mà khi mở sẽ kích hoạt chuỗi lây nhiễm.

Các giai đoạn trung gian bao gồm hai trình tải xuống – một tập lệnh batch (batch script) và một tập lệnh cmd (cmd script) – trong đó tập lệnh cmd chịu trách nhiệm tải xuống và thực thi trình đánh cắp thông tin từ kho lưu trữ GitLab do kẻ xấu kiểm soát.

Cybereason cho biết họ đã phát hiện ra ba biến thể khác nhau của công cụ đánh cắp Snake. Trong đó, biến thể thứ ba là một tệp thực thi (executable) do PyInstaller tạo ra. Phần mềm độc hại này được thiết kế để thu thập dữ liệu từ các trình duyệt web khác nhau.

Đặc biệt, trong số đó có cả trình duyệt web Cốc Cốc của Việt Nam, gợi ý một chủ đề bằng tiếng Việt.

Theo Cybereason, kết nối tiếng Việt được củng cố hơn nữa nhờ quy ước đặt tên của kho GitHub và GitLab cũng như thực tế là mã nguồn có chứa các tham chiếu đến tiếng Việt. Nhà nghiên cứu Ogino cho biết: “Tất cả các biến thể (của Snake) đều hỗ trợ trình duyệt Cốc Cốc, một trình duyệt tiếng Việt nổi tiếng được cộng đồng người Việt sử dụng rộng rãi.”

Thông tin được Snake thu thập, bao gồm thông tin xác thực và cookie, sau đó được lọc dưới định dạng lưu trữ ZIP thông qua API Telegram Bot. Công cụ đánh cắp cũng được thiết kế để chuyển thông tin cookie dành riêng cho Facebook, một dấu hiệu cho thấy kẻ xấu có thể đang tìm cách chiếm đoạt các tài khoản Facebook cho mục đích riêng của mình.

Cũng theo Cybereason, trong 10 năm qua, nhiều công cụ đánh cắp thông tin nhằm vào các cookie của Facebook đã xuất hiện tràn lan, như S1deload Stealer, MrTonyScam, NodeStealer, và VietCredCare.

Chiến dịch đánh cắp thông tin Facebook của Snake xảy ra khi Meta, công ty mẹ của Facebook, đang bị chỉ trích ở Mỹ vì không hỗ trợ nạn nhân có tài khoản bị hack, đồng thời kêu gọi công ty hành động ngay lập tức để giải quyết “sự gia tăng đột biến và dai dẳng” trong các sự cố chiếm đoạt tài khoản.

Theo OALABS Research, chiến dịch Snake cũng theo sau phát hiện rằng các tác nhân đe dọa đang “sử dụng một trang web gian lận trò chơi nhân bản (cloned game cheat), đầu độc SEO và một lỗi trong GitHub để lừa những tin tặc trò chơi chạy phần mềm độc hại Lua”.

Cụ thể, những kẻ điều hành phần mềm độc hại đang lợi dụng lỗ hổng GitHub cho phép tệp được tải lên liên quan đến sự cố trên kho lưu trữ vẫn tồn tại ngay cả trong các tình huống mà sự cố không bao giờ được lưu.

Các nhà nghiên cứu cho biết: Điều này có nghĩa là bất kỳ ai cũng có thể tải tệp lên bất kỳ kho lưu trữ git nào trên GitHub và không để lại bất kỳ dấu vết nào cho thấy tệp đó tồn tại, ngoại trừ liên kết trực tiếp (direct link). Phần mềm độc hại này được trang bị các khả năng liên lạc bằng lệnh và kiểm soát (command-and-control, C2).

Người dùng Facebook cần cẩn trọng khi nhận được những đường link để tải về những file có định dạng nén ZIP hay RAR, cũng như những file dạng thực thi *.exe. Nếu không phải từ các nguồn quen thuộc và đáng tin (đã kiểm chứng trước), người dùng tuyệt đối không download và chạy các file gửi cho mình qua Facebook.

N.L.

Nguồn: The Hacker News.