SYS01 سارق
اكتشف باحثو الأمن السيبراني برنامجًا خبيثًا جديدًا لسرقة المعلومات يستهدف على وجه التحديد حسابات Facebook للموظفين في البنية التحتية الحكومية الهامة. يتم توزيع البرنامج الضار ، المسمى Sys01 Stealer ، من خلال إعلانات Google وحسابات Facebook المزيفة التي تروّج لمحتوى للبالغين وألعاب وبرامج متصدعة. بمجرد التنزيل ، يتم تنفيذ البرنامج الضار على كمبيوتر الضحية من خلال التحميل الجانبي لـ DLL ، وهي تقنية تسمح للبرامج الضارة بتجنب اكتشافها بواسطة برامج الأمان. تم نشر تفاصيل حول سلسلة العدوى والقدرات الخبيثة للتهديد في تقرير صادر عن خبراء أمنيين.
تتشابه تقنيات التوزيع والتنفيذ التي يستخدمها Sys01 Stealer مع تلك المستخدمة بواسطة برنامج ضار آخر يسمى ' S1deload Steale r. استهدف S1deload Stealer أيضًا حسابات Facebook و YouTube لجمع البيانات. يعد الخطر الذي تشكله هذه الأنواع من البرامج الضارة كبيرًا لأن التهديدات مصممة خصيصًا لسرقة المعلومات الحساسة ويمكنها تجاوز إجراءات أمنية معينة.
جدول المحتويات
يستهدف SYS01 Stealer العديد من الصناعات بما في ذلك القطاع الحكومي
Sys01 Stealer عبارة عن برنامج ضار يستهدف الموظفين في مختلف الصناعات منذ نوفمبر 2022 ، بما في ذلك العاملين في الحكومة والتصنيع. الهدف الأساسي للبرامج الضارة هو سرقة المعلومات الحساسة مثل بيانات اعتماد تسجيل الدخول وملفات تعريف الارتباط وإعلان Facebook وبيانات حساب الأعمال من ضحاياه.
يستخدم المهاجمون أساليب مختلفة لجذب ضحاياهم ، بما في ذلك استخدام الإعلانات أو إنشاء حسابات مزيفة على Facebook. تحتوي هذه الإعلانات أو الحسابات المزيفة على عنوان URL يؤدي إلى أرشيف بتنسيق ZIP يتم الإعلان عنه على أنه يحتوي على فيلم أو لعبة أو تطبيق.
يحتوي أرشيف ZIP على مُحمل ، وهو تطبيق شرعي به ثغرة أمنية في التحميل الجانبي لـ DLL ، ومكتبة غير آمنة يتم تحميلها من الجانب. تقوم هذه المكتبة بإسقاط برنامج التثبيت Inno-Setup الذي يقوم بتثبيت الحمولة النهائية في شكل تطبيق PHP. يحتوي هذا التطبيق على نصوص مخترقة تُستخدم لجمع البيانات وسحبها.
استخدم ممثلو التهديد العديد من لغات البرمجة والتشفير لجعل اكتشاف SYS01 Stealer صعبًا
يستخدم SYS01 Stealer برنامج نصي PHP لتحقيق الثبات من خلال تعيين مهمة مجدولة على النظام المصاب. البرنامج النصي الرئيسي ، الذي يحمل وظيفة سرقة المعلومات ، لديه إمكانيات متعددة ، بما في ذلك القدرة على التحقق مما إذا كان الضحية لديه حساب Facebook وتم تسجيل دخوله. يمكن للبرنامج النصي أيضًا تنزيل الملفات وتنفيذها من عنوان URL معين ، وتحميل الملفات إلى خادم القيادة والسيطرة ، وتنفيذ الأوامر.
وفقًا للتحليل ، يستخدم سارق المعلومات العديد من لغات البرمجة ، بما في ذلك Rust و Python و PHP و PHP ، لتجنب الكشف.
يوصى بشدة أن تقوم المؤسسات بتنفيذ سياسة عدم الثقة وتقييد حقوق المستخدمين في تنزيل البرامج وتثبيتها لمنع الإصابات بالتهديدات مثل Sys01 Stealer. نظرًا لأن Sys01 Stealer يعتمد على تكتيكات الهندسة الاجتماعية ، يجب تثقيف المستخدمين حول الأساليب التي يستخدمها الأعداء لاكتشافهم وتجنبهم.
SYS01 سارق فيديو
نصيحة: تشغيل الصوت ON ومشاهدة الفيديو في وضع ملء الشاشة.
