SYS01 Ladro
I ricercatori della sicurezza informatica hanno scoperto un nuovo malware che ruba informazioni che prende di mira specificamente gli account Facebook dei dipendenti nelle infrastrutture governative critiche. Il malware, denominato Sys01 Stealer, viene distribuito tramite pubblicità Google e falsi account Facebook che promuovono contenuti per adulti, giochi e software crackato. Una volta scaricato, il malware viene eseguito sul computer della vittima tramite caricamento laterale DLL, una tecnica che consente al malware di evitare il rilevamento da parte del software di sicurezza. I dettagli sulla catena dell'infezione e sulle capacità dannose della minaccia sono stati rilasciati in un rapporto degli esperti di sicurezza.
Le tecniche di distribuzione ed esecuzione utilizzate da Sys01 Stealer sono simili a quelle utilizzate da un altro malware denominato ' S1deload Steale r. S1deload Stealer ha preso di mira anche gli account Facebook e YouTube per raccogliere dati. Il pericolo rappresentato da questi tipi di malware è significativo in quanto le minacce sono specificamente progettate per rubare informazioni sensibili e possono aggirare determinate misure di sicurezza.
Sommario
Il ladro SYS01 prende di mira numerose industrie, compreso il settore governativo
Sys01 Stealer è un malware che dal novembre 2022 prende di mira i dipendenti di diversi settori, compresi quelli del governo e della produzione. L'obiettivo principale del malware è quello di esfiltrare informazioni sensibili come credenziali di accesso, cookie e dati di annunci di Facebook e account aziendali dalle sue vittime.
Gli aggressori impiegano varie tattiche per attirare le loro vittime, incluso l'utilizzo di annunci pubblicitari o la creazione di falsi account Facebook. Questi annunci o account falsi contengono un URL che porta a un archivio ZIP pubblicizzato come contenente un film, un gioco o un'applicazione.
L'archivio ZIP contiene un caricatore, che è un'applicazione legittima che presenta una vulnerabilità nel caricamento laterale delle DLL e una libreria non sicura che viene caricata lateralmente. Questa libreria rilascia il programma di installazione Inno-Setup che installa un payload finale sotto forma di un'applicazione PHP. Questa applicazione contiene script compromessi utilizzati per raccogliere ed esfiltrare i dati.
Gli attori delle minacce hanno utilizzato diversi linguaggi di programmazione e codificatori per rendere difficile il rilevamento del ladro SYS01
Il SYS01 Stealer utilizza uno script PHP per ottenere la persistenza impostando un'attività pianificata sul sistema infetto. Lo script principale, che trasporta la funzionalità di furto di informazioni, ha molteplici funzionalità, inclusa la possibilità di verificare se la vittima ha un account Facebook e ha effettuato l'accesso. Lo script può anche scaricare ed eseguire file da un URL designato, caricare file su un server di comando e controllo ed eseguire i comandi.
Secondo l'analisi, il ladro di informazioni utilizza diversi linguaggi di programmazione, inclusi codificatori avanzati Rust, Python, PHP e PHP, per evitare il rilevamento.
Si consiglia vivamente alle organizzazioni di implementare una politica zero-trust e limitare i diritti degli utenti di scaricare e installare programmi per prevenire le infezioni da minacce come Sys01 Stealer. Poiché Sys01 Stealer si basa su tattiche di ingegneria sociale, gli utenti devono essere istruiti sulle tecniche utilizzate dagli avversari per rilevarli ed evitarli.
SYS01 Ladro Video
Suggerimento: attiva l' audio e guarda il video in modalità Schermo intero .
