SYS01 Stealer
A kiberbiztonsági kutatók új információlopó kártevőt fedeztek fel, amely kifejezetten a kritikus kormányzati infrastruktúrában dolgozó alkalmazottak Facebook-fiókjait célozza meg. A Sys01 Stealer nevű rosszindulatú programot Google-hirdetéseken és hamis Facebook-fiókokon keresztül terjesztik, amelyek felnőtteknek szóló tartalmakat, játékokat és feltört szoftvereket reklámoznak. A letöltést követően a rosszindulatú program az áldozat számítógépén DLL oldalbetöltésen keresztül fut, amely módszer lehetővé teszi, hogy a kártevő elkerülje a biztonsági szoftver általi észlelést. A fertőzési láncról és a fenyegetés rosszindulatú képességeiről szóló részleteket biztonsági szakértők közölték.
A Sys01 Stealer által használt terjesztési és végrehajtási technikák hasonlóak egy másik, az ' S1deload Steale r nevű rosszindulatú programhoz. Az S1deload Stealer a Facebook és a YouTube fiókokat is megcélozta az adatok begyűjtése érdekében. Az ilyen típusú rosszindulatú programok által jelentett veszély jelentős, mivel a fenyegetéseket kifejezetten érzékeny információk ellopására tervezték, és megkerülhetnek bizonyos biztonsági intézkedéseket.
Tartalomjegyzék
A SYS01 Stealer számos iparágat céloz meg, beleértve a kormányzati szektort is
A Sys01 Stealer egy olyan rosszindulatú program, amely 2022 novembere óta a különböző iparágakban dolgozó alkalmazottakat célozza meg, beleértve a kormányzat és a gyártás területén dolgozókat is. A rosszindulatú program elsődleges célja, hogy kiszűrje az olyan érzékeny információkat, mint a bejelentkezési adatok, a cookie-k, valamint a Facebook-hirdetések és az üzleti fiókok adatai.
A támadók különféle taktikákat alkalmaznak áldozataik csábítására, beleértve a hirdetéseket vagy a hamis Facebook-fiókok létrehozását. Ezek a hirdetések vagy hamis fiókok olyan URL-t tartalmaznak, amely egy filmet, játékot vagy alkalmazást tartalmazó ZIP-archívumhoz vezet.
A ZIP-archívum tartalmaz egy betöltőt, amely egy legitim alkalmazás, amely a DLL oldalsó betöltésénél sérülékeny, és egy nem biztonságos könyvtárat, amely oldalról van betöltve. Ez a könyvtár eldobja az Inno-Setup telepítőt, amely egy PHP-alkalmazás formájában egy végső hasznos anyagot telepít. Ez az alkalmazás feltört szkripteket tartalmaz, amelyeket adatok gyűjtésére és kiszűrésére használnak.
A fenyegető szereplők számos programozási nyelvet és kódolót használtak, hogy megnehezítsék a SYS01 Stealer észlelését
A SYS01 Stealer PHP-szkriptet használ a tartósság eléréséhez, ütemezett feladat beállításával a fertőzött rendszeren. Az információlopási funkciót hordozó fő szkript több funkcióval is rendelkezik, beleértve azt a képességet, hogy ellenőrizze, hogy az áldozatnak van-e Facebook-fiókja, és be van-e jelentkezve. A szkript képes fájlokat letölteni és végrehajtani egy kijelölt URL-ről, fájlokat feltölteni egy parancs- és vezérlőkiszolgálót, és parancsokat hajtson végre.
Az elemzés szerint az információlopó több programozási nyelvet, köztük Rust, Python, PHP és PHP fejlett kódolókat használ az észlelés elkerülése érdekében.
Erősen ajánlott, hogy a szervezetek vezessenek be egy nulla bizalmi irányelvet, és korlátozzák a felhasználók jogait a programok letöltéséhez és telepítéséhez, hogy megakadályozzák a Sys01 Stealerhez hasonló fenyegetések által okozott fertőzéseket. Mivel a Sys01 Stealer a social engineering taktikára támaszkodik, a felhasználókat meg kell tanítani az ellenfelek által használt technikákról, hogy észleljék és elkerüljék őket.
SYS01 Stealer videó
Tipp: Kapcsolja BE a hangot, és nézze meg a videót teljes képernyős módban .
