El ladrón de información de la serpiente pitón se propaga a través de mensajes de Facebook

Según informes recienteslos actores de amenazas están aprovechando cada vez más los mensajes de Facebook para distribuir el Python Snake Info Stealer Python Snake. Los investigadores han observado que las amenazas utilizan tres variantes del ladrón de información. Vale la pena mencionar aquí que dos de estos instaladores son scripts Python normales, mientras que el tercero es un ejecutable que se ensambla utilizando el PyInstaller.

En este artículo, vamos a bucear en todos los detalles de la Python Snake Info Stealer aprendiendo cómo se inicia el ataque y qué medidas de seguridad se pueden adoptar.

¡Comencemos!

Orígenes de la serpiente pitón Ladrona de información

Detalles sobre el malware de robo de información aparecieron por primera vez en la plataforma de redes sociales X, antes conocida como Twitter, en agosto de 2023. Los detalles proporcionan información valiosa sobre cómo el ladrón de información Python Snake y son esenciales para prevenir las filtraciones de datos y ciberataques a través de las redes sociales.

Distribución del malware Python Snake 

Según informes recientes, el ladrón de información Python Snake se llevan a cabo en varias etapas. Para iniciar los ataques, los actores de la amenaza envían a los usuarios objetivo archivos ".RAR" o ".ZIP" a través de mensajes de Facebook. La secuencia de infección comienza cuando el usuario descarga y abre estos archivos.

Vale la pena mencionar aquí que los archivos mencionados anteriormente contienen dos descargadores: un script por lotes y un script cmd. El script cmd se utiliza para descargar el ladrón de información Python Snake desde un repositorio GitLab controlado por un actor de amenazas al sistema del usuario. Los investigadores de Cybereasonque fueron los primeros en advertir de los ataques, han declarado que:

"El archivo comprimido contiene un script BAT que es el primer descargador que inicia la cadena de infección. El script BAT intenta descargar un archivo ZIP a través del comando cURL, colocando el archivo descargado en el directorio C:\Users\Public como myFile.zip. El script BAT procede a generar otro comando PowerShell Expand-Archive para extraer el script CMD vn.cmd del archivo ZIP y continúa con su infección".

Scripts maliciosos en Python y el malware de robo de información 

Los informes han mencionado que el "vn.cmd es el principal script responsable de la descarga del ladrón de información Python Snake. El script inicia el navegador Google Chrome abre la página de inicio de AliBaba.com y procede a descargar los tres archivos restantes de GitLab de la siguiente manera:

1. WindowsSecure.bat - se utiliza para mantener la persistencia en el dispositivo objetivo lanzando y ejecutando project.py.
2. Document.zip - contiene paquetes Python y ayuda a lanzar project.py, permitiendo a los actores de amenazas evitar la necesidad de tener dichos paquetes instalados en el dispositivo del usuario.
3. Project.py - el script Python responsable de robar credenciales de diferentes navegadores.

El script apunta esencialmente a siete navegadores web, que incluyen: 

• Valiente
• Navegador Coc Coc
• Cromo
• Navegador Google Chrome
• Microsoft Edge
• Mozilla Firefox
• Navegador Opera

Utiliza la función función "main []" para volcar información relevante del navegador al disco. Además de recoger cookies y credenciales, el malware de robo de información también vuelca información de cookies específica de Facebook, titulada "cookiefb.txt". Esto permite a los autores de la amenaza piratear la cuenta de Facebook de la víctima y ampliar su superficie de ataque.

Gravedad del ataque de la serpiente pitón 

En cuanto a la gravedad de los ataques, vale la pena mencionar aquí que las tres variantes no necesitan paquetes Python estén instalados en los dispositivos de las víctimas para ejecutar sus intenciones maliciosas.

Sin embargo, mientras que la variante uno se dirige a siete navegadores web, se sabe que las variantes dos y tres se dirigen a los siguientes: 

• Navegador Coc Coc
• Navegador Google Chrome
• Microsoft Edge
• Cookies de Facebook

Por el momento, los investigadores han atribuido la campaña a actores de amenazas de origen vietnamita. Se basan en los comentarios de los guiones, los nombres de las conversaciones y la presencia del navegador Coc Coc.

Estos ataques son un claro recordatorio de los peligros del panorama de las ciberamenazas, en constante evolución, y exigen medidas proactivas para prevenir las violaciones de datos. prevención de fugas de datos para salvaguardar las redes personales y de las organizaciones.

Conclusión 

El ladrón de información Python Snake se está distribuyendo a través de mensajes de Facebook que contienen archivos que, si se descargan, ejecutan scripts Python maliciosos. El malware se dirige a distintos navegadores web y su objetivo es robar credenciales. Su gravedad es un claro recordatorio de por qué aplicar medidas sólidas de ciberseguridad es primordial en la era digital.

Las fuentes de este artículo incluyen artículos en The Hacker News y TechRadar Pro.

Resumen

Nombre del artículo

El ladrón de información de la serpiente pitón se propaga a través de mensajes de Facebook

Descripción

Se están utilizando mensajes de Facebook para propagar el ladrón de información Python Snake. Obtenga más información sobre los ataques y proteja sus sistemas.

Autor

Wajahat Raja

Nombre del editor

TuxCare

Logotipo de la editorial