SYS01 Stealer
Ερευνητές κυβερνοασφάλειας ανακάλυψαν ένα νέο κακόβουλο λογισμικό κλοπής πληροφοριών που στοχεύει συγκεκριμένα τους λογαριασμούς Facebook των εργαζομένων σε κρίσιμες κυβερνητικές υποδομές. Το κακόβουλο λογισμικό, που ονομάζεται Sys01 Stealer, διανέμεται μέσω διαφημίσεων της Google και ψεύτικων λογαριασμών Facebook που προωθούν περιεχόμενο για ενηλίκους, παιχνίδια και σπασμένα λογισμικό. Μετά τη λήψη, το κακόβουλο λογισμικό εκτελείται στον υπολογιστή του θύματος μέσω πλευρικής φόρτωσης DLL, μια τεχνική που επιτρέπει στο κακόβουλο λογισμικό να αποφύγει τον εντοπισμό από λογισμικό ασφαλείας. Λεπτομέρειες σχετικά με την αλυσίδα μόλυνσης και τις κακόβουλες δυνατότητες της απειλής δόθηκαν στη δημοσιότητα σε έκθεση ειδικών ασφαλείας.
Οι τεχνικές διανομής και εκτέλεσης που χρησιμοποιούνται από το Sys01 Stealer είναι παρόμοιες με εκείνες που χρησιμοποιούνται από ένα άλλο κακόβουλο λογισμικό που ονομάζεται ' S1deload Steale r. Το S1deload Stealer στόχευσε επίσης λογαριασμούς Facebook και YouTube για τη συλλογή δεδομένων. Ο κίνδυνος από αυτούς τους τύπους κακόβουλου λογισμικού είναι σημαντικός, καθώς οι απειλές έχουν σχεδιαστεί ειδικά για την κλοπή ευαίσθητων πληροφοριών και μπορούν να παρακάμψουν ορισμένα μέτρα ασφαλείας.
Πίνακας περιεχομένων
Το SYS01 Stealer στοχεύει πολυάριθμες βιομηχανίες, συμπεριλαμβανομένου του κρατικού τομέα
Το Sys01 Stealer είναι κακόβουλο λογισμικό που στοχεύει υπαλλήλους σε διαφορετικούς κλάδους από τον Νοέμβριο του 2022, συμπεριλαμβανομένων εκείνων της κυβέρνησης και της μεταποίησης. Ο πρωταρχικός στόχος του κακόβουλου λογισμικού είναι η διείσδυση ευαίσθητων πληροφοριών, όπως διαπιστευτήρια σύνδεσης, cookies και δεδομένα διαφημίσεων και επαγγελματικών λογαριασμών Facebook από τα θύματά του.
Οι επιτιθέμενοι χρησιμοποιούν διάφορες τακτικές για να δελεάσουν τα θύματά τους, συμπεριλαμβανομένης της χρήσης διαφημίσεων ή της δημιουργίας ψεύτικων λογαριασμών στο Facebook. Αυτές οι διαφημίσεις ή οι ψεύτικοι λογαριασμοί περιέχουν μια διεύθυνση URL που οδηγεί σε ένα αρχείο ZIP που διαφημίζεται ότι περιέχει ταινία, παιχνίδι ή εφαρμογή.
Το αρχείο ZIP περιέχει ένα πρόγραμμα φόρτωσης, το οποίο είναι μια νόμιμη εφαρμογή που έχει μια ευπάθεια στην πλευρική φόρτωση DLL και μια μη ασφαλή βιβλιοθήκη που φορτώνεται πλευρικά. Αυτή η βιβλιοθήκη απορρίπτει το πρόγραμμα εγκατάστασης Inno-Setup που εγκαθιστά ένα τελικό ωφέλιμο φορτίο με τη μορφή μιας εφαρμογής PHP. Αυτή η εφαρμογή περιέχει παραβιασμένα σενάρια που χρησιμοποιούνται για τη συλλογή και την εξαγωγή δεδομένων.
Οι ηθοποιοί απειλών χρησιμοποίησαν πολλές γλώσσες προγραμματισμού και κωδικοποιητές για να κάνουν το SYS01 Stealer δύσκολο στην ανίχνευση
Το SYS01 Stealer χρησιμοποιεί ένα σενάριο PHP για να επιτύχει επιμονή ορίζοντας μια προγραμματισμένη εργασία στο μολυσμένο σύστημα. Το κύριο σενάριο, το οποίο φέρει τη λειτουργία κλοπής πληροφοριών, έχει πολλαπλές δυνατότητες, συμπεριλαμβανομένης της δυνατότητας να ελέγχει εάν το θύμα έχει λογαριασμό στο Facebook και είναι συνδεδεμένο. Το σενάριο μπορεί επίσης να κατεβάσει και να εκτελέσει αρχεία από μια καθορισμένη διεύθυνση URL, να ανεβάσει αρχεία σε διακομιστή εντολών και ελέγχου και εκτελέστε εντολές.
Σύμφωνα με την ανάλυση, ο κλέφτης πληροφοριών χρησιμοποιεί διάφορες γλώσσες προγραμματισμού, συμπεριλαμβανομένων των Rust, Python, PHP και προηγμένων κωδικοποιητών PHP, για να αποφύγει τον εντοπισμό.
Συνιστάται ανεπιφύλακτα στους οργανισμούς να εφαρμόζουν μια πολιτική μηδενικής εμπιστοσύνης και να περιορίζουν τα δικαιώματα των χρηστών για λήψη και εγκατάσταση προγραμμάτων για την πρόληψη μολύνσεων από απειλές όπως το Sys01 Stealer. Εφόσον το Sys01 Stealer βασίζεται σε τακτικές κοινωνικής μηχανικής, οι χρήστες πρέπει να εκπαιδεύονται σχετικά με τις τεχνικές που χρησιμοποιούνται από τους αντιπάλους για τον εντοπισμό και την αποφυγή τους.
SYS01 Stealer βίντεο
Συμβουλή: Ενεργοποιήστε τον ήχο σας και παρακολουθήστε το βίντεο σε λειτουργία πλήρους οθόνης .
