SYS01 крадец

До Mezo през Malware, Stealersг

Превод на:

Изследователите на киберсигурността са открили нов злонамерен софтуер за кражба на информация, който е насочен специално към акаунтите във Facebook на служители в критична правителствена инфраструктура. Зловреден софтуер, наречен Sys01 Stealer, се разпространява чрез реклами в Google и фалшиви акаунти във Facebook, които популяризират съдържание за възрастни, игри и кракнат софтуер. Веднъж изтеглен, зловреден софтуер се изпълнява на компютъра на жертвата чрез странично зареждане на DLL, техника, която позволява на зловреден софтуер да избегне откриването от софтуера за сигурност. Подробности за веригата на заразяване и злонамерените възможности на заплахата бяха публикувани в доклад на експерти по сигурността.

Техниките за разпространение и изпълнение, използвани от Sys01 Stealer, са подобни на тези, използвани от друг зловреден софтуер, наречен S1deload Steale r. S1deload Stealer също е насочен към акаунти във Facebook и YouTube за събиране на данни. Опасността, породена от тези типове злонамерен софтуер, е значителна, тъй като заплахите са специално проектирани да крадат чувствителна информация и могат да заобиколят определени мерки за сигурност.

Съдържание

SYS01 Stealer е насочен към множество индустрии, включително правителствения сектор

Sys01 Stealer е зловреден софтуер, който е насочен към служители в различни индустрии от ноември 2022 г., включително тези в правителството и производството. Основната цел на злонамерения софтуер е да извлече чувствителна информация, като идентификационни данни за вход, бисквитки и данни за реклами във Facebook и бизнес акаунти от своите жертви.

Нападателите използват различни тактики, за да привлекат жертвите си, включително използване на реклами или създаване на фалшиви акаунти във Facebook. Тези реклами или фалшиви акаунти съдържат URL адрес, който води до ZIP архив, който се рекламира като съдържащ филм, игра или приложение.

ZIP архивът съдържа товарач, който е легитимно приложение, което има уязвимост при странично зареждане на DLL, и опасна библиотека, която е странично заредена. Тази библиотека премахва инсталатора на Inno-Setup, който инсталира окончателен полезен товар под формата на PHP приложение. Това приложение съдържа компрометирани скриптове, които се използват за събиране и ексфилтриране на данни.

Актьорите на заплахи са използвали няколко езика за програмиране и енкодери, за да направят SYS01 Stealer труден за откриване

SYS01 Stealer използва PHP скрипт за постигане на устойчивост чрез задаване на планирана задача на заразената система. Основният скрипт, който носи функцията за кражба на информация, има множество възможности, включително възможността да проверява дали жертвата има акаунт във Facebook и дали е влязла. Скриптът може също така да изтегля и изпълнява файлове от определен URL адрес, да качва файлове на командно-контролен сървър и изпълнява команди.

Според анализа, крадецът на информация използва няколко езика за програмиране, включително Rust, Python, PHP и PHP усъвършенствани енкодери, за да избегне откриването.

Силно се препоръчва организациите да прилагат политика на нулево доверие и да ограничават правата на потребителите да изтеглят и инсталират програми, за да предотвратят инфекции от заплахи като Sys01 Stealer. Тъй като Sys01 Stealer разчита на тактики за социално инженерство, потребителите трябва да бъдат обучени за техниките, използвани от противниците, за да ги открият и избегнат.