Ataques recentes estão utilizando mensagens do Facebook para disseminar um ladrão de informações baseado em Python, apelidado de Snake, projetado para capturar credenciais e outros dados sensíveis.

As credenciais colhidas de usuários desavisados são transmitidas para diferentes plataformas, como Discord, GitHub e Telegram. Detalhes sobre a campanha surgiram pela primeira vez na plataforma de mídia social em agosto de 2023.

Os ataques envolvem o envio de arquivos de arquivo RAR ou ZIP aparentemente inofensivos para usuários em potencial que, ao serem abertos, ativam a sequência de infecção. As etapas intermediárias envolvem dois downloaders um script em lote e um script cmd, sendo o último responsável por baixar e executar o ladrão de informações de um repositório GitLab controlado pelo ator.

A Cybereason identificou três variantes diferentes do ladrão, sendo a terceira um executável montado pelo PyInstaller. O malware, por sua vez, é projetado para coletar dados de diferentes navegadores da web, incluindo o Cốc Cốc, sugerindo um foco vietnamita. As informações coletadas, que incluem credenciais e cookies, são então exfiltradas na forma de um arquivo ZIP via Telegram Bot API.

O ladrão também é projetado para despejar informações específicas de cookies do Facebook, indicando que o ator de ameaça provavelmente está procurando sequestrar as contas para seus próprios fins.