SYS01 Kradljivac

Do Mezo. Malware, Stealers. godine

Prevedi na:

Istraživači kibernetičke sigurnosti otkrili su novi zlonamjerni softver za krađu informacija koji cilja na Facebook račune zaposlenika u kritičnoj državnoj infrastrukturi. Zlonamjerni softver, nazvan Sys01 Stealer, distribuira se putem Google oglasa i lažnih Facebook računa koji promiču sadržaje za odrasle, igre i krekirani softver. Nakon preuzimanja, zlonamjerni softver se pokreće na računalu žrtve putem DLL bočnog učitavanja, tehnike koja omogućuje zlonamjernom softveru da izbjegne otkrivanje od strane sigurnosnog softvera. Pojedinosti o lancu infekcije i zlonamjernim mogućnostima prijetnje objavljene su u izvješću sigurnosnih stručnjaka.

Tehnike distribucije i izvršavanja koje koristi Sys01 Stealer slične su onima koje koristi drugi zlonamjerni softver pod nazivom ' S1deload Steale r. S1deload Stealer također cilja Facebook i YouTube račune za prikupljanje podataka. Opasnost koju predstavljaju ove vrste zlonamjernog softvera je značajna jer su prijetnje posebno dizajnirane za krađu osjetljivih informacija i mogu zaobići određene sigurnosne mjere.

Sadržaj

SYS01 Stealer cilja na brojne industrije uključujući državni sektor

Sys01 Stealer zlonamjerni je softver koji cilja zaposlenike u različitim industrijama od studenog 2022., uključujući one u vladi i proizvodnji. Primarni cilj zlonamjernog softvera je izvući osjetljive informacije kao što su vjerodajnice za prijavu, kolačići i podaci o Facebook oglasima i poslovnim računima od svojih žrtava.

Napadači koriste različite taktike kako bi namamili svoje žrtve, uključujući korištenje oglasa ili stvaranje lažnih Facebook računa. Ti oglasi ili lažni računi sadrže URL koji vodi do ZIP arhive za koju se reklamira da sadrži film, igricu ili aplikaciju.

ZIP arhiva sadrži program za učitavanje, koji je legitimna aplikacija koja ima ranjivost u bočnom učitavanju DLL-a, i nesigurnu biblioteku koja se učitava sa strane. Ova biblioteka ispušta instalacijski program Inno-Setup koji instalira konačni korisni teret u obliku PHP aplikacije. Ova aplikacija sadrži kompromitirane skripte koje se koriste za prikupljanje i eksfiltraciju podataka.

Akteri prijetnji koristili su nekoliko programskih jezika i kodera kako bi otežali otkrivanje SYS01 Stealer-a

SYS01 Stealer koristi PHP skriptu za postizanje postojanosti postavljanjem planiranog zadatka na zaraženom sustavu. Glavna skripta, koja nosi funkciju krađe informacija, ima višestruke mogućnosti, uključujući mogućnost provjere ima li žrtva Facebook račun i je li prijavljena. Skripta također može preuzeti i izvršiti datoteke s određenog URL-a, učitati datoteke na naredbeno-kontrolni poslužitelj i izvršavanje naredbi.

Prema analizi, kradljivac informacija koristi nekoliko programskih jezika, uključujući Rust, Python, PHP i PHP napredne kodere, kako bi izbjegao otkrivanje.

Strogo se preporučuje da organizacije provedu politiku nultog povjerenja i ograniče prava korisnika na preuzimanje i instaliranje programa kako bi se spriječile infekcije prijetnjama kao što je Sys01 Stealer. Budući da se Sys01 Stealer oslanja na taktiku društvenog inženjeringa, korisnici moraju biti educirani o tehnikama koje protivnici koriste kako bi ih otkrili i izbjegli.