SYS01 varastaja
Kyberturvallisuustutkijat ovat löytäneet uuden tietoa varastavan haittaohjelman, joka kohdistuu erityisesti kriittisen valtion infrastruktuurin työntekijöiden Facebook-tileihin. Sys01 Stealer -nimistä haittaohjelmaa levitetään Google-mainosten ja väärennettyjen Facebook-tilien kautta, jotka mainostavat aikuisille suunnattua sisältöä, pelejä ja krakattuja ohjelmistoja. Kun haittaohjelma on ladattu, se suoritetaan uhrin tietokoneella DLL-sivulatauksella, tekniikalla, jonka avulla haittaohjelma voi välttää tietoturvaohjelmiston havaitsemisen. Yksityiskohdat tartuntaketjusta ja uhan haitallisista ominaisuuksista julkaistiin turvallisuusasiantuntijoiden raportissa.
Sys01 Stealerin käyttämät jakelu- ja suoritustekniikat ovat samanlaisia kuin toisen haittaohjelman nimeltä S1deload Steale r. S1deload Stealer kohdistaa myös Facebook- ja YouTube-tilejä keräämään tietoja. Tämäntyyppisten haittaohjelmien aiheuttama vaara on merkittävä, koska uhat on suunniteltu erityisesti varastamaan arkaluontoisia tietoja ja ne voivat ohittaa tietyt turvatoimenpiteet.
Sisällysluettelo
SYS01 Stealer kohdistuu useille toimialoille, mukaan lukien valtion sektori
Sys01 Stealer on haittaohjelma, joka on kohdistettu eri alojen työntekijöihin marraskuusta 2022 lähtien, mukaan lukien julkishallinnon ja teollisuuden työntekijät. Haittaohjelman ensisijainen tavoite on suodattaa uhreilta arkaluonteisia tietoja, kuten kirjautumistiedot, evästeet sekä Facebook-mainos- ja yritystilitiedot.
Hyökkääjät käyttävät erilaisia taktiikoita houkutellakseen uhrejaan, mukaan lukien mainosten käyttäminen tai väärennettyjen Facebook-tilien luominen. Nämä mainokset tai väärennetyt tilit sisältävät URL-osoitteen, joka johtaa ZIP-arkistoon, jonka mainostetaan sisältävän elokuvan, pelin tai sovelluksen.
ZIP-arkisto sisältää latausohjelman, joka on laillinen sovellus, jossa on haavoittuvuus DLL-sivulatauksessa, ja vaarallisen kirjaston, joka ladataan sivulta. Tämä kirjasto poistaa Inno-Setup-asennusohjelman, joka asentaa lopullisen hyötykuorman PHP-sovelluksen muodossa. Tämä sovellus sisältää vaarantuneita skriptejä, joita käytetään tietojen keräämiseen ja suodattamiseen.
Uhkatoimijat käyttivät useita ohjelmointikieliä ja koodereita tehdäkseen SYS01-varastajasta vaikean havaita
SYS01 Stealer käyttää PHP-skriptiä pysyvyyden saavuttamiseksi asettamalla ajoitetun tehtävän tartunnan saaneelle järjestelmälle. Pääskriptillä, joka sisältää tiedon varastamisen toiminnon, on useita ominaisuuksia, mukaan lukien mahdollisuus tarkistaa, onko uhrilla Facebook-tili ja onko hän kirjautunut sisään. Skripti voi myös ladata ja suorittaa tiedostoja määritetystä URL-osoitteesta, ladata tiedostoja komento- ja ohjauspalvelin ja suorita komentoja.
Analyysin mukaan tietovarastaja käyttää useita ohjelmointikieliä, mukaan lukien Rust-, Python-, PHP- ja PHP-edistyneet kooderit, välttääkseen havaitsemisen.
On erittäin suositeltavaa, että organisaatiot ottavat käyttöön nollaluottamuskäytännön ja rajoittavat käyttäjien oikeuksia ladata ja asentaa ohjelmia estääkseen Sys01 Stealer -uhkien aiheuttamat tartunnat. Koska Sys01 Stealer luottaa sosiaalisen suunnittelun taktiikoihin, käyttäjiä on koulutettava vihollisten havaitsemiseen ja välttämiseen käyttämistä tekniikoista.
SYS01 varastaja Video
Vinkki: Ota ääni käyttöön ja katso video koko näytön tilassa .
