SYS01 varastaja
Küberjulgeoleku uurijad avastasid uue teavet varastava pahavara, mis sihib konkreetselt kriitilises valitsuse infrastruktuuris olevate töötajate Facebooki kontosid. Pahavara nimega Sys01 Stealer levitatakse Google'i reklaamide ja Facebooki võltskontode kaudu, mis reklaamivad täiskasvanutele mõeldud sisu, mänge ja krakitud tarkvara. Pärast allalaadimist käivitatakse pahavara ohvri arvutis DLL-i külglaadimise kaudu, mis võimaldab pahavaral vältida turvatarkvara tuvastamist. Üksikasjad nakkusahela ja ohu pahatahtlike võimaluste kohta avaldati turvaekspertide raportis.
Sys01 Stealeri kasutatavad levitamis- ja täitmistehnikad on sarnased teise pahavara ' S1deload Steale r'ga. S1deload Stealer sihtis andmete kogumiseks ka Facebooki ja YouTube'i kontosid. Seda tüüpi pahavara oht on märkimisväärne, kuna ohud on spetsiaalselt loodud tundliku teabe varastamiseks ja võivad teatud turvameetmetest mööda minna.
Sisukord
SYS01 Stealer sihib paljusid tööstusharusid, sealhulgas valitsussektorit
Sys01 Stealer on pahavara, mis on sihitud alates 2022. aasta novembrist erinevates tööstusharudes, sealhulgas valitsussektoris ja tootmissektoris. Pahavara peamine eesmärk on väljafiltreerida ohvritelt tundlikku teavet, nagu sisselogimismandaadid, küpsised ning Facebooki reklaamide ja ärikontode andmed.
Ründajad kasutavad oma ohvrite meelitamiseks erinevaid taktikaid, sealhulgas kasutavad reklaame või loovad Facebooki võltskontosid. Need reklaamid või võltskontod sisaldavad URL-i, mis viib ZIP-arhiivi, mis reklaamitakse filmi, mängu või rakendust sisaldavana.
ZIP-arhiiv sisaldab laadijat, mis on seaduslik rakendus, millel on DLL-i külglaadimisel haavatavus, ja külglaadimisel ohtlikku teeki. See teek loobub Inno-Setup installiprogrammist, mis installib lõpliku kasuliku koormuse PHP-rakenduse kujul. See rakendus sisaldab ohustatud skripte, mida kasutatakse andmete kogumiseks ja väljafiltreerimiseks.
Ohunäitlejad kasutasid mitut programmeerimiskeelt ja kodeerijat, et muuta SYS01 varastaja tuvastamine keeruliseks
SYS01 Stealer kasutab püsivuse saavutamiseks PHP-skripti, määrates nakatunud süsteemile ajastatud ülesande. Peamisel skriptil, mis kannab teabevarguse funktsiooni, on mitu võimalust, sealhulgas võimalus kontrollida, kas ohvril on Facebooki konto ja kas ta on sisse logitud. Skript võib ka määratud URL-ilt faile alla laadida ja käivitada, faile üles laadida käsu- ja juhtimisserver ning käskude täitmine.
Analüüsi kohaselt kasutab infovaras tuvastamise vältimiseks mitmeid programmeerimiskeeli, sealhulgas Rust, Python, PHP ja PHP täiustatud kodeerijaid.
Organisatsioonidel on tungivalt soovitatav rakendada null-usalduspoliitikat ja piirata kasutajate õigusi alla laadida ja installida programme, et vältida nakatumist selliste ohtudega nagu Sys01 Stealer. Kuna Sys01 Stealer tugineb sotsiaalse manipuleerimise taktikale, peavad kasutajad olema haritud tehnikate kohta, mida vastased nende tuvastamiseks ja vältimiseks kasutavad.
SYS01 varastaja Video
Näpunäide. Lülitage heli sisse ja vaadake videot täisekraanirežiimis .
