ClickCease Le voleur d'informations Python Snake se propage via les messages Facebook

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Le voleur d'informations Python Snake se propage via les messages Facebook

Wajahat Raja

Le 21 mars 2024 - L'équipe d'experts de TuxCare

Selon des rapports récentsles acteurs de la menace utilisent de plus en plus les messages Facebook pour distribuer le Python Snake Info Stealer Python Snake. Les chercheurs ont remarqué que les acteurs de la menace utilisent trois variantes du voleur d'informations. Il convient de préciser que deux de ces installateurs sont des scripts Python ordinaires, tandis que le troisième est un exécutable assemblé à l'aide de PyInstaller.

Dans cet article, nous allons nous plonger dans tous les détails du Python Snake Info Stealer en apprenant comment l'attaque est lancée et quelles mesures de sécurité peuvent être adoptées.

Commençons !

 

Origine du python voleur d'informations


Détails sur le logiciel malveillant de vol d'informations
logiciel malveillant de vol d'informations sont apparus pour la première fois sur la plateforme de médias sociaux X, anciennement connue sous le nom de Twitter, en août 2023. Ces détails fournissent des informations précieuses sur la manière dont le voleur d'informations Python Snake d'informations et sont essentiels pour prévenir les violations de données et cyberattaques via les plateformes de médias sociaux.


Distribution du logiciel malveillant Python Snake 


Selon des rapports récents, le voleur d'informations
voleur d'informations Python Snake se déroulent en plusieurs étapes. Pour lancer les attaques, les acteurs de la menace envoient aux utilisateurs cibles des fichiers ".RAR". ".RAR" ou ".ZIP par le biais de messages Facebook. La séquence d'infection commence lorsque l'utilisateur télécharge et ouvre ces fichiers.

Il convient de mentionner ici que les fichiers mentionnés ci-dessus contiennent deux téléchargeurs : un script batch et un script cmd. Le script cmd est utilisé pour télécharger le voleur d'informations voleur d'informations Python Snake à partir d'un dépôt GitLab contrôlé par un acteur de la menace sur le système de l'utilisateur. Les chercheurs de Cybereasonqui ont été les premiers à mettre en garde contre ces attaques, ont déclaré que :

"Le fichier archivé contient un script BAT qui est le premier téléchargeur initiant la chaîne d'infection. Le script BAT tente de télécharger un fichier ZIP via la commande cURL, plaçant le fichier téléchargé dans le répertoire C:\Users\Public sous le nom myFile.zip. Le script BAT lance une autre commande PowerShell Expand-Archive pour extraire le script CMD vn.cmd du fichier ZIP et poursuit son infection".


Scripts Python malveillants et logiciels malveillants voleurs d'informations 


Des rapports ont mentionné que le fichier
"vn.cmd est le principal script responsable du téléchargement du voleur d'informations "Python Snake". voleur d'informations Python Snake. Le script lance l'application Google Chrome ouvre la page d'accueil d'AliBaba.com, puis télécharge les trois autres fichiers de GitLab comme suit :

  1. WindowsSecure.bat - utilisé pour maintenir la persistance sur le dispositif ciblé en lançant et en exécutant project.py.
  2. Document.zip - contient des paquets Python et aide à lancer project.py, ce qui permet aux auteurs de menaces de ne pas avoir à installer ces paquets sur l'appareil de l'utilisateur.
  3. Project.py - le script Python responsable du vol d'informations d'identification à partir de différents navigateurs.

Le script vise essentiellement à cibler sept navigateurs web, dont les suivants 

  • Courageux
  • Navigateur Coc Coc
  • Chrome
  • Navigateur Google Chrome
  • Microsoft Edge
  • Mozilla Firefox
  • Navigateur web Opera

Il utilise l'élément "main []" pour transférer les informations pertinentes du navigateur sur le disque. En plus de collecter des cookies et des informations d'identification, le logiciel malveillant voleur d'informations volent également des informations sur les cookies spécifiques à Facebook, intitulées "cookiefb.txt". "cookiefb.txt". Cela permet aux acteurs de la menace de pirater le compte Facebook de la victime et d'étendre leur surface d'attaque.

 

Gravité de l'attaque du serpent python 


En ce qui concerne la gravité des attaques, il convient de mentionner que les trois variantes n'ont pas besoin de paquets Python.
paquets Python soient installés sur les appareils des victimes pour qu'elles puissent exécuter leurs intentions malveillantes.

Cependant, alors que la première variante cible sept navigateurs web, les variantes deux et trois sont connues pour cibler les navigateurs suivants : 

  • Navigateur Coc Coc
  • Navigateur Google Chrome
  • Microsoft Edge
  • Cookies Facebook

Jusqu'à présent, les chercheurs ont attribué la campagne à des acteurs de la menace d'origine vietnamienne. Ils s'appuient pour cela sur les commentaires contenus dans les scripts, les conversations sur les noms et la présence du navigateur Coc Coc.

Ces attaques nous rappellent brutalement les dangers liés à l'évolution constante du paysage des cybermenaces et nous obligent à prendre des mesures proactives pour prévenir les violations de données doivent être adoptées pour protéger les réseaux organisationnels et personnels.


Conclusion 


Le
voleur d'informations Python Snake est distribué par le biais de messages Facebook contenant des fichiers qui, s'ils sont téléchargés, exécutent des des scripts Python malveillants. Le logiciel malveillant cible différents navigateurs web et vise à voler des informations d'identification. Sa gravité nous rappelle brutalement pourquoi la mise en œuvre de de mesures de cybersécurité robustes est primordiale à l'ère numérique !

Les sources de cet article comprennent des articles dans The Hacker News et TechRadar Pro.

 

Résumé
Le voleur d'informations Python Snake se propage via les messages Facebook
Nom de l'article
Le voleur d'informations Python Snake se propage via les messages Facebook
Description
Des messages Facebook sont utilisés pour diffuser le voleur d'informations Python Snake. Apprenez-en plus sur ces attaques et protégez vos systèmes.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information