ClickCease Pythonschlangen-Informationsdiebe verbreiten sich über Facebook-Nachrichten

Inhaltsübersicht

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Pythonschlangen-Informationsdiebe verbreiten sich über Facebook-Nachrichten

Wajahat Raja

März 21, 2024 - TuxCare-Expertenteam

Wie aus jüngsten Berichtennutzen Bedrohungsakteure zunehmend Facebook-Nachrichten zur Verbreitung des Python Snake Info Stealer Malware zu verbreiten. Die Forscher haben festgestellt, dass die Bedrohungsakteure drei Varianten des Informationsdiebstahls verwenden. Zwei dieser Installationsprogramme sind reguläre Python-Skripte, während das dritte eine ausführbare Datei ist, die mit dem PyInstaller zusammengestellt wurde.

In diesem Artikel gehen wir auf alle Details des Python Snake Info Stealer Angriffe und erfahren, wie der Angriff initiiert wird und welche Sicherheitsmaßnahmen ergriffen werden können.

Fangen wir an!

 

Die Ursprünge der Pythonschlange Info Stealer


Einzelheiten über die
Informationsdiebstahl-Malware tauchten erstmals im August 2023 auf der Social-Media-Plattform X, früher bekannt als Twitter, auf. Die Details liefern wertvolle Informationen darüber, wie der Python Snake-Informationsdiebstahlsoftware funktioniert und sind wichtig für die Datenverstöße zu verhindern und Cyberangriffe über Social-Media-Plattformen.


Verbreitung von Python Snake Malware 


Nach jüngsten Berichten ist der
Python Snake info stealer Angriffe in mehreren Stufen durchgeführt. Um die Angriffe zu initiieren, senden die Bedrohungsakteure den Zielnutzern ".RAR" oder ".ZIP" Dateien über Facebook-Nachrichten. Die Infektionssequenz beginnt, sobald der Benutzer diese Dateien herunterlädt und öffnet.

Es ist erwähnenswert, dass die oben genannten Dateien zwei Downloader enthalten: ein Batch-Skript und ein cmd-Skript. Das cmd-Skript wird zum Herunterladen des Python Snake Info Stealer aus einem von einem Bedrohungsakteur kontrollierten GitLab-Repository auf das System des Benutzers herunterzuladen. Forscher von Cybereasondie als erste vor den Angriffen gewarnt haben, haben erklärt, dass:

"Die archivierte Datei enthält ein BAT-Skript, das den ersten Downloader darstellt, der die Infektionskette einleitet. Das BAT-Skript versucht, eine ZIP-Datei über den cURL-Befehl herunterzuladen und legt die heruntergeladene Datei im Verzeichnis C:\Users\Public als myFile.zip ab. Das BAT-Skript startet einen weiteren PowerShell-Befehl Expand-Archive, um das CMD-Skript vn.cmd aus der ZIP-Datei zu extrahieren, und fährt mit seiner Infektion fort."


Bösartige Python-Skripte und die Informationen stehlende Malware 


In Berichten wurde erwähnt, dass die
"vn.cmd" Skript das primäre Skript ist, das für das Herunterladen des Python Snake info stealer. Das Skript startet den Google Chrome Browser, öffnet die Homepage von AliBaba.com und lädt dann die restlichen drei Dateien von GitLab wie folgt herunter:

  1. WindowsSecure.bat - dient der Aufrechterhaltung der Persistenz auf dem Zielgerät durch Starten und Ausführen von project.py.
  2. Document.zip - enthält Python-Pakete und hilft beim Starten von project.py, so dass Bedrohungsakteure die Installation solcher Pakete auf dem Gerät des Benutzers vermeiden können.
  3. Project.py - das Python-Skript, das für den Diebstahl von Anmeldedaten aus verschiedenen Browsern verantwortlich ist.

Das Skript zielt im Wesentlichen auf sieben Webbrowser ab, darunter: 

  • Mutig
  • Coc Coc Browser
  • Chrom
  • Google Chrome-Browser
  • Microsoft Edge
  • Mozilla Firefox
  • Opera Web-Browser

Es verwendet die "main []" Funktion, um relevante Informationen des Browsers auf die Festplatte zu übertragen. Zusätzlich zum Sammeln von Cookies und Anmeldedaten, Informationen stehlende Malware auch Cookie-Informationen, die spezifisch für Facebook sind, mit dem Titel "cookiefb.txt". Dadurch können die Bedrohungsakteure das Facebook-Konto des Opfers hacken und ihre Angriffsfläche erweitern.

 

Schwere eines Pythonschlangenangriffs 


Was die Schwere der Angriffe betrifft, so ist es erwähnenswert, dass alle drei Varianten keine
Python-Pakete auf den Geräten der Opfer installiert sein müssen, damit sie ihre böswilligen Absichten ausführen können.

Während Variante eins jedoch auf sieben Webbrowser abzielt, sind die Varianten zwei und drei dafür bekannt, dass sie auf die folgenden abzielen: 

  • Coc Coc Browser
  • Google Chrome-Browser
  • Microsoft Edge
  • Facebook-Cookies

Bisher haben die Forscher die Kampagne den Bedrohungsakteuren vietnamesischer Herkunft zugeschrieben. Die Grundlage für solche Behauptungen bilden Kommentare in den Skripten, die Nennung von Gesprächen und das Vorhandensein des Coc Coc Browsers.

Diese Angriffe sind eine deutliche Mahnung an die Gefahren der sich ständig weiterentwickelnden Cyber-Bedrohungslandschaft und machen deutlich, dass proaktive Maßnahmen zur Verhinderung von Datenverletzungen zum Schutz von Unternehmens- und Privatnetzwerken ergriffen werden müssen.


Schlussfolgerung 


Die
Python Snake info stealer Malware wird über Facebook-Nachrichten verbreitet, die Dateien enthalten, die beim Herunterladen bösartige Python-Skripte ausführen. Die Malware zielt auf verschiedene Webbrowser ab und versucht, Anmeldedaten zu stehlen. Der Schweregrad des Angriffs macht deutlich, warum die Implementierung robuste Cybersicherheitsmaßnahmen im digitalen Zeitalter von größter Bedeutung ist!

Zu den Quellen für diesen Beitrag gehören Artikel in den Hacker-Nachrichten und TechRadar Pro.

 

Zusammenfassung
Pythonschlangen-Informationsdiebe verbreiten sich über Facebook-Nachrichten
Artikel Name
Pythonschlangen-Informationsdiebe verbreiten sich über Facebook-Nachrichten
Beschreibung
Facebook-Nachrichten werden zur Verbreitung des Infodiebstahlprogramms Python Snake verwendet. Erfahren Sie mehr über diese Angriffe und schützen Sie Ihre Systeme.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter