SYS01 גנב
חוקרי אבטחת סייבר גילו תוכנה זדונית חדשה לגניבת מידע המכוונת במיוחד לחשבונות פייסבוק של עובדים בתשתית ממשלתית קריטית. התוכנה הזדונית, בשם Sys01 Stealer, מופצת באמצעות פרסומות של גוגל וחשבונות פייסבוק מזויפים המקדמים תוכן למבוגרים, משחקים ותוכנות מפוצצות. לאחר ההורדה, התוכנה הזדונית מבוצעת במחשב של הקורבן באמצעות טעינת DLL בצד, טכניקה המאפשרת לתוכנה הזדונית להימנע מזיהוי על ידי תוכנת אבטחה. פרטים על שרשרת ההדבקה והיכולות הזדוניות של האיום פורסמו בדו"ח של מומחי אבטחה.
טכניקות ההפצה והביצוע המשמשות את Sys01 Stealer דומות לאלו המשמשות תוכנה זדונית אחרת בשם ' S1deload Steale r. S1deload Stealer כיוון גם לחשבונות פייסבוק ויוטיוב כדי לאסוף נתונים. הסכנה הנשקפת מסוגים אלה של תוכנות זדוניות היא משמעותית שכן האיומים נועדו במיוחד לגנוב מידע רגיש ויכולים לעקוף אמצעי אבטחה מסוימים.
תוכן העניינים
SYS01 Stealer מכוון לתעשיות רבות, כולל המגזר הממשלתי
Sys01 Stealer היא תוכנה זדונית שמכוונת לעובדים בתעשיות שונות מאז נובמבר 2022, כולל אלו בממשלה ובייצור. המטרה העיקרית של התוכנה הזדונית היא לחלץ מידע רגיש כמו אישורי התחברות, קובצי Cookie ונתוני מודעות פייסבוק וחשבון עסקי מהקורבנות שלה.
התוקפים נוקטים בשיטות שונות כדי לפתות את קורבנותיהם, כולל שימוש בפרסומות או יצירת חשבונות פייסבוק מזויפים. מודעות אלו או חשבונות מזויפים מכילים כתובת אתר שמובילה לארכיון ZIP שמפורסם כמכיל סרט, משחק או אפליקציה.
ארכיון ה-ZIP מכיל טוען, שהוא יישום לגיטימי שיש לו פגיעות בטעינת DLL בצד, וספרייה לא בטוחה שנטענת בצד. ספריה זו מפילה את מתקין Inno-Setup שמתקין מטען סופי בצורה של יישום PHP. אפליקציה זו מכילה סקריפטים שנפגעו המשמשים לקציר וסינון נתונים.
שחקני איומים השתמשו במספר שפות תכנות ומקודדים כדי להקשות על זיהוי SYS01 Stealer
SYS01 Stealer משתמש בסקריפט PHP כדי להשיג התמדה על ידי הגדרת משימה מתוזמנת במערכת הנגועה. לסקריפט הראשי, הנושא את הפונקציונליות של גניבת מידע, יש יכולות מרובות, כולל היכולת לבדוק אם לקורבן יש חשבון פייסבוק והוא מחובר. הסקריפט יכול גם להוריד ולהפעיל קבצים מכתובת URL ייעודית, להעלות קבצים ל- שרת פקודה ושליטה, וביצוע פקודות.
על פי הניתוח, גנב המידע משתמש במספר שפות תכנות, כולל מקודדים מתקדמים Rust, Python, PHP ו-PHP, כדי למנוע זיהוי.
מומלץ מאוד לארגונים ליישם מדיניות אפס אמון ולהגביל את זכויות המשתמשים להוריד ולהתקין תוכניות כדי למנוע הדבקות מאיומים כמו Sys01 Stealer. מכיוון שה-Sys01 Stealer מסתמך על טקטיקות של הנדסה חברתית, יש לחנך את המשתמשים לגבי הטכניקות שבהן משתמשים יריבים כדי לזהות ולהימנע מהן.
SYS01 גנב וידאו
טיפ: הפעל הקול שלך ON ולצפות בסרטון במצב של מסך מלא.
