يتعرض مستخدمو فيسبوك الفيتناميون لاستهداف حملة "Snake" الخبيثة

وفقًا لموقع TechRadar ، حذرت دراسة جديدة من أن الأشرار يستغلون رسائل Facebook لنشر أداة سرقة معلومات متطورة تعتمد على Python تسمى Snake.

وبناءً على ذلك، كشف باحثون في شركة حلول الأمن "سايبريزون" تفاصيل هذه الحملة الهجومية الخطيرة، قائلين إن الهدف الرئيسي لفيروس "ثعبان" هو سرقة بيانات حساسة ومعلومات تسجيل الدخول من مستخدمين عاديين. ويبدو أن هذه الحملة جديدة نسبيًا، حيث اكتُشفت لأول مرة في أغسطس 2023، ويبدو أنها تستهدف المستخدمين الفيتناميين.

فيما يتعلق بأساليب الهجوم، يرسل المهاجمون رسائل ذات محتوى غريب، غالبًا ما تذكر فيديو حساسًا للضحية، بالإضافة إلى روابط لتنزيل ملفات مضغوطة بصيغة RAR أو ZIP. ورغم أنها تبدو غير ضارة، إلا أنه عند فتحها، تُطلق سلسلة من الإصابات تتضمن برنامجي تنزيل للبرامج الضارة، بما في ذلك نص برمجي دفعي ونص برمجي موجه الأوامر. يكون نص برمجي موجه الأوامر مسؤولًا عن تشغيل أداة سرقة معلومات Snake من مستودع GitLab الذي يتحكم فيه المهاجم.

تمكنت شركة Cybereason من تحديد ثلاثة أنواع من Snake، النوع الثالث هو ملف قابل للتنفيذ تم إنشاؤه بواسطة PyInstaller ويستهدف مستخدمي متصفح Cốc Cốc، وهو متصفح شائع في فيتنام.

بعد جمعها، تمت مشاركة معلومات تسجيل الدخول وملفات تعريف الارتباط عبر منصات متعددة، بما في ذلك ديسكورد وجيت هب وتيليجرام. كما استهدف البرنامج الخبيث حسابات فيسبوك باستخراج معلومات ملفات تعريف الارتباط، مما قد يشير إلى أن الاستيلاء على الحساب كان مُخططًا لاستخدامه لنشر البرامج الضارة.

ويبدو أن الحملة مرتبطة بمتسللين من فيتنام، حيث يُقال إن اتفاقية تسمية المستودعات التي يسيطر عليها المهاجم تحتوي على مراجع فيتنامية في الكود المصدر، مثل "hoang.exe" أو "hoangtuan.exe"، أو رابط GitLab الذي يبدو أنه مرتبط باسم "Khoi Nguyen".

وأشارت شركة Cybereason أيضًا إلى أن البرامج الضارة تستهدف أيضًا متصفحات أخرى مثل Brave وChromium وGoogle Chrome وMicrosoft Edge وMozilla Firefox وOpera.

يأتي هذا الاكتشاف في ظلّ تدقيق متزايد من فيسبوك لتقصيره الملحوظ في دعم ضحايا اختراق الحسابات. لحماية أنفسهم، يُنصح المستخدمون باتخاذ احتياطات أمنية، لا سيما استخدام كلمات مرور معقدة والمصادقة الثنائية (2FA).