SYS01 robador
Els investigadors de ciberseguretat han descobert un nou programari maliciós per robar informació que s'adreça específicament als comptes de Facebook dels empleats de la infraestructura governamental crítica. El programari maliciós, anomenat Sys01 Stealer, es distribueix mitjançant anuncis de Google i comptes falsos de Facebook que promouen contingut per a adults, jocs i programari craquejat. Un cop descarregat, el programari maliciós s'executa a l'ordinador de la víctima mitjançant la càrrega lateral DLL, una tècnica que permet que el programari maliciós eviti la detecció del programari de seguretat. Els detalls sobre la cadena d'infecció i les capacitats malicioses de l'amenaça es van publicar en un informe d'experts en seguretat.
Les tècniques de distribució i execució utilitzades per Sys01 Stealer són similars a les utilitzades per un altre programari maliciós anomenat ' S1deload Steale r. S1deload Stealer també va apuntar als comptes de Facebook i YouTube per recollir dades. El perill que suposen aquests tipus de programari maliciós és important, ja que les amenaces estan dissenyades específicament per robar informació sensible i poden evitar determinades mesures de seguretat.
Taula de continguts
SYS01 Stealer s'adreça a nombroses indústries, inclòs el sector governamental
Sys01 Stealer és programari maliciós que s'ha dirigit als empleats de diferents indústries des del novembre de 2022, inclosos els del govern i la indústria manufacturera. L'objectiu principal del programari maliciós és exfiltrar informació sensible, com ara credencials d'inici de sessió, galetes i dades d'anuncis de Facebook i comptes empresarials de les seves víctimes.
Els atacants utilitzen diverses tàctiques per atraure les seves víctimes, com ara utilitzar anuncis o crear comptes de Facebook falsos. Aquests anuncis o comptes falsos contenen un URL que condueix a un arxiu ZIP que s'anuncia que conté una pel·lícula, un joc o una aplicació.
L'arxiu ZIP conté un carregador, que és una aplicació legítima que té una vulnerabilitat en la càrrega lateral de DLL i una biblioteca no segura que es carrega lateral. Aquesta biblioteca deixa caure l'instal·lador Inno-Setup que instal·la una càrrega útil final en forma d'aplicació PHP. Aquesta aplicació conté scripts compromesos que s'utilitzen per recollir i exfiltrar dades.
Els actors d'amenaça van utilitzar diversos llenguatges de programació i codificadors per fer que el robatori SYS01 fos difícil de detectar
El SYS01 Stealer utilitza un script PHP per aconseguir la persistència establint una tasca programada al sistema infectat. L'script principal, que inclou la funcionalitat de robatori d'informació, té múltiples capacitats, inclosa la possibilitat de comprovar si la víctima té un compte de Facebook i està connectada. L'script també pot descarregar i executar fitxers des d'una URL designada, carregar fitxers a un servidor d'ordres i control i executar ordres.
Segons l'anàlisi, el robador d'informació utilitza diversos llenguatges de programació, inclosos els codificadors avançats Rust, Python, PHP i PHP, per evitar la detecció.
És molt recomanable que les organitzacions implementin una política de confiança zero i restringeixin els drets dels usuaris a descarregar i instal·lar programes per prevenir infeccions per amenaces com Sys01 Stealer. Atès que Sys01 Stealer es basa en tàctiques d'enginyeria social, els usuaris han de ser educats sobre les tècniques que fan servir els adversaris per detectar-les i evitar-les.
SYS01 robador Vídeo
Consell: activa el so i mira el vídeo en mode de pantalla completa .
