SYS01 Stealer

محققان امنیت سایبری بدافزار جدیدی برای سرقت اطلاعات کشف کرده اند که به طور خاص حساب های فیس بوک کارمندان در زیرساخت های مهم دولتی را هدف قرار می دهد. این بدافزار که Sys01 Stealer نام دارد، از طریق تبلیغات گوگل و حساب های فیس بوک جعلی که محتوای بزرگسالان، بازی ها و نرم افزارهای کرک شده را تبلیغ می کنند، توزیع می شود. پس از دانلود، بدافزار از طریق بارگذاری جانبی DLL روی رایانه قربانی اجرا می‌شود، تکنیکی که به بدافزار اجازه می‌دهد از شناسایی توسط نرم‌افزار امنیتی جلوگیری کند. جزئیات مربوط به زنجیره عفونت و قابلیت های مخرب تهدید در گزارشی توسط کارشناسان امنیتی منتشر شد.

تکنیک‌های توزیع و اجرا که توسط Sys01 Stealer استفاده می‌شود شبیه به روش‌هایی است که توسط بدافزار دیگری به نام S1deload Steale r استفاده می‌شود. S1deload Stealer همچنین حساب های فیس بوک و یوتیوب را برای جمع آوری داده ها هدف قرار داده است. خطر ناشی از این نوع بدافزارها قابل توجه است زیرا تهدیدها به طور خاص برای سرقت اطلاعات حساس طراحی شده اند و می توانند برخی از اقدامات امنیتی را دور بزنند.

دزد SYS01 صنایع متعددی از جمله بخش دولتی را هدف قرار می دهد

Sys01 Stealer بدافزاری است که از نوامبر 2022 کارمندان صنایع مختلف از جمله صنایع دولتی و تولیدی را هدف قرار داده است. هدف اصلی این بدافزار استخراج اطلاعات حساس مانند اعتبار ورود به سیستم، کوکی‌ها و اطلاعات تبلیغاتی فیسبوک و حساب‌های تجاری از قربانیان آن است.

مهاجمان از تاکتیک های مختلفی برای فریب قربانیان خود استفاده می کنند، از جمله استفاده از تبلیغات یا ایجاد حساب های فیس بوک جعلی. این تبلیغات یا حساب‌های جعلی حاوی URL است که به آرشیو ZIP منتهی می‌شود که به عنوان حاوی یک فیلم، بازی یا برنامه تبلیغ می‌شود.

بایگانی ZIP حاوی یک لودر است که یک برنامه کاربردی قانونی است که دارای آسیب‌پذیری در بارگذاری جانبی DLL است و یک کتابخانه ناامن که بارگذاری جانبی دارد. این کتابخانه نصب کننده Inno-Setup را حذف می کند که یک بار نهایی را در قالب یک برنامه PHP نصب می کند. این برنامه حاوی اسکریپت های به خطر افتاده است که برای برداشت و استخراج داده ها استفاده می شود.

بازیگران تهدید از چندین زبان برنامه نویسی و رمزگذار استفاده کردند تا شناسایی SYS01 Stealer را دشوار کنند.

SYS01 Stealer از یک اسکریپت PHP برای دستیابی به ماندگاری با تنظیم یک وظیفه برنامه ریزی شده بر روی سیستم آلوده استفاده می کند. اسکریپت اصلی، که دارای عملکرد سرقت اطلاعات است، دارای قابلیت های متعددی است، از جمله توانایی بررسی اینکه آیا قربانی یک حساب کاربری فیس بوک دارد و وارد شده است یا خیر. سرور فرمان و کنترل و اجرای دستورات.

بر اساس تجزیه و تحلیل، سارق اطلاعات از چندین زبان برنامه نویسی از جمله Rust، Python، PHP و رمزگذارهای پیشرفته PHP برای جلوگیری از شناسایی استفاده می کند.

اکیداً توصیه می‌شود که سازمان‌ها باید یک سیاست اعتماد صفر را اجرا کنند و حقوق کاربران را برای دانلود و نصب برنامه‌ها محدود کنند تا از آلودگی‌های تهدیداتی مانند Sys01 Stealer جلوگیری کنند. از آنجایی که Sys01 Stealer بر تاکتیک های مهندسی اجتماعی متکی است، کاربران باید در مورد تکنیک هایی که توسط دشمنان برای شناسایی و اجتناب از آنها استفاده می شود، آموزش ببینند.

SYS01 Stealer ویدیو

نکته: صدای خود را روشن کنید و ویدیو را در حالت تمام صفحه تماشا کنید .