Zloděj SYS01
Výzkumníci v oblasti kybernetické bezpečnosti objevili nový malware kradoucí informace, který se konkrétně zaměřuje na facebookové účty zaměstnanců v kritické vládní infrastruktuře. Malware s názvem Sys01 Stealer je distribuován prostřednictvím reklam Google a falešných účtů na Facebooku, které propagují obsah pro dospělé, hry a cracknutý software. Po stažení je malware spuštěn na počítači oběti prostřednictvím načítání DLL, což je technika, která malwaru umožňuje vyhnout se detekci bezpečnostním softwarem. Podrobnosti o infekčním řetězci a škodlivých schopnostech hrozby byly zveřejněny ve zprávě bezpečnostních expertů.
Techniky distribuce a spouštění používané Sys01 Stealer jsou podobné těm, které používá jiný malware s názvem ' S1deload Steale r. S1deload Stealer se také zaměřil na účty Facebook a YouTube, aby sklidil data. Nebezpečí, které tyto typy malwaru představují, je značné, protože hrozby jsou speciálně navrženy ke krádeži citlivých informací a mohou obejít určitá bezpečnostní opatření.
Obsah
SYS01 Stealer se zaměřuje na četná průmyslová odvětví včetně vládního sektoru
Sys01 Stealer je malware, který se od listopadu 2022 zaměřuje na zaměstnance v různých odvětvích, včetně těch ve státní správě a výrobě. Primárním cílem malwaru je získat od obětí citlivé informace, jako jsou přihlašovací údaje, soubory cookie a údaje o reklamách na Facebooku a obchodních účtech.
Útočníci používají různé taktiky, aby nalákali své oběti, včetně používání reklam nebo vytváření falešných účtů na Facebooku. Tyto reklamy nebo falešné účty obsahují adresu URL, která vede do archivu ZIP, který je inzerován jako obsahující film, hru nebo aplikaci.
Archiv ZIP obsahuje zavaděč, což je legitimní aplikace, která má zranitelnost v načítání DLL z boku, a nebezpečnou knihovnu, která se načítá z boku. Tato knihovna zruší instalační program Inno-Setup, který nainstaluje finální užitečné zatížení ve formě aplikace PHP. Tato aplikace obsahuje kompromitované skripty, které se používají ke sběru a exfiltraci dat.
Aktéři hrozeb použili několik programovacích jazyků a kodérů, aby znesnadnili detekci SYS01 Stealer
SYS01 Stealer používá PHP skript k dosažení perzistence nastavením naplánované úlohy na infikovaném systému. Hlavní skript, který nese funkci krádeže informací, má několik možností, včetně možnosti zkontrolovat, zda má oběť účet na Facebooku a zda je přihlášena. Skript může také stahovat a spouštět soubory z určené adresy URL, nahrávat soubory na příkaz-and-control server a provádět příkazy.
Podle analýzy používá zloděj informací několik programovacích jazyků, včetně pokročilých kodérů Rust, Python, PHP a PHP, aby se vyhnul detekci.
Důrazně se doporučuje, aby organizace zavedly politiku nulové důvěry a omezily práva uživatelů stahovat a instalovat programy, aby se zabránilo infekcím hrozbami, jako je Sys01 Stealer. Protože Sys01 Stealer spoléhá na taktiku sociálního inženýrství, uživatelé musí být poučeni o technikách, které protivníci používají k jejich odhalení a vyhnutí se jim.
Zloděj SYS01 Video
Tip: Zapněte zvuk ON a sledovat video v režimu celé obrazovky.
