SYS01 스틸러

사이버 보안 연구원들이 중요한 정부 인프라 직원의 Facebook 계정을 특별히 노리는 새로운 정보 탈취 악성코드를 발견했습니다. Sys01 Stealer라는 악성코드는 Google 광고와 성인용 콘텐츠, 게임, 크랙된 소프트웨어를 홍보하는 가짜 Facebook 계정을 통해 배포되고 있습니다. 다운로드가 완료되면 멀웨어가 보안 소프트웨어의 탐지를 피할 수 있는 기술인 DLL 사이드 로딩을 통해 피해자의 컴퓨터에서 멀웨어가 실행됩니다. 감염 체인과 위협의 악의적 기능에 대한 세부 정보는 보안 전문가의 보고서에서 공개되었습니다.

Sys01 Stealer가 사용하는 배포 및 실행 기술은 ' S1deload Steale r'이라는 또 다른 악성코드가 사용하는 것과 유사합니다. S1deload Stealer는 또한 Facebook 및 YouTube 계정을 대상으로 데이터를 수집했습니다. 이러한 유형의 맬웨어는 중요한 정보를 도용하도록 특별히 설계되었으며 특정 보안 조치를 우회할 수 있기 때문에 이러한 유형의 맬웨어로 인해 발생하는 위험은 매우 큽니다.

SYS01 Stealer는 정부 부문을 포함한 수많은 산업을 표적으로 합니다.

Sys01 Stealer는 2022년 11월부터 정부 및 제조 분야 직원을 포함하여 다양한 산업 분야의 직원을 대상으로 하는 맬웨어입니다. 맬웨어의 주요 목표는 피해자로부터 로그인 자격 증명, 쿠키, Facebook 광고 및 비즈니스 계정 데이터와 같은 민감한 정보를 빼내는 것입니다.

공격자는 광고를 사용하거나 가짜 Facebook 계정을 만드는 등 피해자를 유인하기 위해 다양한 전술을 사용합니다. 이러한 광고 또는 가짜 계정에는 영화, 게임 또는 애플리케이션을 포함하는 것으로 광고되는 ZIP 아카이브로 연결되는 URL이 포함되어 있습니다.

ZIP 아카이브에는 DLL 사이드 로딩에 취약한 합법적인 애플리케이션인 로더와 사이드 로딩된 안전하지 않은 라이브러리가 포함되어 있습니다. 이 라이브러리는 PHP 애플리케이션의 형태로 최종 페이로드를 설치하는 Inno-Setup 설치 프로그램을 삭제합니다. 이 애플리케이션에는 데이터를 수집하고 유출하는 데 사용되는 손상된 스크립트가 포함되어 있습니다.

위협 행위자는 여러 프로그래밍 언어와 인코더를 사용하여 SYS01 스틸러를 탐지하기 어렵게 만들었습니다.

SYS01 Stealer는 PHP 스크립트를 사용하여 감염된 시스템에서 예약된 작업을 설정하여 지속성을 달성합니다. 정보 탈취 기능이 있는 메인 스크립트는 피해자가 페이스북 계정이 있고 로그인되어 있는지 확인하는 기능을 포함하여 여러 기능을 가지고 있습니다. 스크립트는 또한 지정된 URL에서 파일을 다운로드하여 실행하고 파일을 명령 및 제어 서버 및 실행 명령.

분석에 따르면 정보 탈취자는 탐지를 피하기 위해 Rust, Python, PHP 및 PHP 고급 인코더를 포함한 여러 프로그래밍 언어를 사용합니다.

조직은 제로 트러스트 정책을 구현하고 Sys01 Stealer와 같은 위협에 의한 감염을 방지하기 위해 프로그램을 다운로드하고 설치할 수 있는 사용자 권한을 제한해야 합니다. Sys01 Stealer는 사회 공학 전술에 의존하기 때문에 사용자는 공격자가 이를 탐지하고 피하기 위해 사용하는 기술에 대해 교육을 받아야 합니다.

SYS01 스틸러 비디오

팁 : ON 사운드를 켜고 전체 화면 모드에서 비디오를 볼.