SYS01 Stealer
Cybersikkerhedsforskere har opdaget en ny informationstjælende malware, der specifikt retter sig mod Facebook-konti for ansatte i kritisk statslig infrastruktur. Malwaren, kaldet Sys01 Stealer, bliver distribueret gennem Google-reklamer og falske Facebook-konti, der promoverer voksenindhold, spil og cracket software. Når den først er downloadet, udføres malwaren på offerets computer gennem DLL side-loading, en teknik, der gør det muligt for malware at undgå opdagelse af sikkerhedssoftware. Detaljer om infektionskæden og truslens ondsindede muligheder blev offentliggjort i en rapport fra sikkerhedseksperter.
Distributions- og eksekveringsteknikkerne, der bruges af Sys01 Stealer, ligner dem, der bruges af en anden malware ved navn ' S1deload Steale r. S1deload Stealer målrettede også Facebook- og YouTube-konti for at høste data. Faren ved disse typer malware er betydelig, da truslerne er specielt designet til at stjæle følsomme oplysninger og kan omgå visse sikkerhedsforanstaltninger.
Indholdsfortegnelse
SYS01 Stealer er rettet mod adskillige industrier, herunder den offentlige sektor
Sys01 Stealer er malware, der har været rettet mod ansatte i forskellige brancher siden november 2022, inklusive dem i regering og fremstilling. Malwarens primære mål er at udslette følsomme oplysninger såsom loginoplysninger, cookies og Facebook-annonce- og virksomhedskontodata fra dens ofre.
Angriberne anvender forskellige taktikker for at lokke deres ofre, herunder brug af reklamer eller oprettelse af falske Facebook-konti. Disse annoncer eller falske konti indeholder en URL, der fører til et ZIP-arkiv, der annonceres for at indeholde en film, et spil eller en applikation.
ZIP-arkivet indeholder en loader, som er en legitim applikation, der har en sårbarhed i DLL side-loading, og et usikkert bibliotek, der er side-loaded. Dette bibliotek dropper Inno-Setup-installationsprogrammet, der installerer en endelig nyttelast i form af en PHP-applikation. Denne applikation indeholder kompromitterede scripts, der bruges til at høste og eksfiltrere data.
Trusselskuespillere brugte flere programmeringssprog og indkodere for at gøre SYS01 Stealer svært at opdage
SYS01 Stealer bruger et PHP-script til at opnå persistens ved at indstille en planlagt opgave på det inficerede system. Hovedscriptet, som bærer informationstjælende funktionalitet, har flere muligheder, herunder evnen til at kontrollere, om offeret har en Facebook-konto og er logget ind. Scriptet kan også downloade og udføre filer fra en udpeget URL, uploade filer til en kommando-og-kontrol-server og udføre kommandoer.
Ifølge analysen bruger informationstyveren flere programmeringssprog, herunder Rust, Python, PHP og PHP avancerede indkodere, for at undgå opdagelse.
Det anbefales kraftigt, at organisationer implementerer en nul-tillidspolitik og begrænser brugernes rettigheder til at downloade og installere programmer for at forhindre infektioner fra trusler som Sys01 Stealer. Da Sys01 Stealer er afhængig af social engineering taktik, skal brugerne være uddannet om de teknikker, der bruges af modstandere til at opdage og undgå dem.
SYS01 Stealer Video
Tip: Gør din lyd ON og se videoen i fuldskærmstilstand.
