SYS01 vagystė
Kibernetinio saugumo tyrėjai atrado naują informaciją vagiančią kenkėjišką programą, kuri konkrečiai nukreipta į kritinės valdžios infrastruktūros darbuotojų Facebook paskyras. Kenkėjiška programa, pavadinta Sys01 Stealer, platinama per Google reklamas ir netikras Facebook paskyras, kuriose reklamuojamas suaugusiesiems skirtas turinys, žaidimai ir nulaužta programinė įranga. Atsisiuntus kenkėjiška programa aukos kompiuteryje paleidžiama naudojant DLL šoninį įkėlimą – techniką, leidžiančią apsaugoti kenkėjišką programinę įrangą neaptikti jos. Išsami informacija apie infekcijos grandinę ir kenkėjiškas grėsmės galimybes buvo paskelbta saugumo ekspertų ataskaitoje.
„Sys01 Stealer“ naudojami platinimo ir vykdymo metodai yra panašūs į tuos, kuriuos naudoja kita kenkėjiška programa „ S1deload Steale r. „S1deload Stealer“ taip pat taikė „Facebook“ ir „YouTube“ paskyras, kad gautų duomenis. Šių tipų kenkėjiškų programų keliamas pavojus yra didelis, nes grėsmės yra specialiai sukurtos slaptai informacijai pavogti ir gali apeiti tam tikras saugumo priemones.
Turinys
SYS01 Stealer Taikosi į daugelį pramonės šakų, įskaitant vyriausybės sektorių
„Sys01 Stealer“ yra kenkėjiška programa, kuri nuo 2022 m. lapkričio mėnesio buvo skirta įvairių pramonės šakų darbuotojams, įskaitant vyriausybės ir gamybos sektoriaus darbuotojus. Pagrindinis kenkėjiškos programos tikslas yra iš aukų išfiltruoti slaptą informaciją, pvz., prisijungimo duomenis, slapukus ir „Facebook“ skelbimų bei verslo paskyrų duomenis.
Užpuolikai taiko įvairias taktikas, siekdami suvilioti savo aukas, įskaitant reklamas arba netikrų „Facebook“ paskyrų kūrimą. Šiuose skelbimuose arba netikrose paskyrose yra URL, nukreipiantis į ZIP archyvą, kuriame reklamuojama kaip filmas, žaidimas ar programa.
ZIP archyve yra įkroviklis, kuris yra teisėta programa, turinti DLL šoninio įkėlimo pažeidžiamumą, ir nesaugi biblioteka, kuri įkeliama iš šono. Ši biblioteka atmeta Inno-Setup diegimo programą, kuri įdiegia galutinę naudingąją apkrovą PHP programos pavidalu. Šioje programoje yra pažeistų scenarijų, kurie naudojami duomenims rinkti ir išfiltruoti.
Grėsmių aktoriai naudojo kelias programavimo kalbas ir koduotuvus, kad SYS01 vagį būtų sunku aptikti
SYS01 Stealer naudoja PHP scenarijų, kad užtikrintų pastovumą, nustatant suplanuotą užduotį užkrėstoje sistemoje. Pagrindinis scenarijus, turintis informacijos vagystės funkciją, turi daug galimybių, įskaitant galimybę patikrinti, ar auka turi Facebook paskyrą ir yra prisijungusi. Scenarijus taip pat gali atsisiųsti ir vykdyti failus iš nurodyto URL, įkelti failus į komandų ir valdymo serverį ir vykdyti komandas.
Remiantis analize, informacijos vagystė naudoja kelias programavimo kalbas, įskaitant Rust, Python, PHP ir PHP pažangius koduotuvus, kad išvengtų aptikimo.
Organizacijoms primygtinai rekomenduojama įgyvendinti nulinio pasitikėjimo politiką ir apriboti vartotojų teises atsisiųsti ir įdiegti programas, kad būtų išvengta tokių grėsmių kaip Sys01 Stealer. Kadangi „Sys01 Stealer“ remiasi socialinės inžinerijos taktika, vartotojai turi būti mokomi apie metodus, kuriuos naudoja priešininkai, norėdami juos aptikti ir išvengti.
SYS01 vagystė vaizdo įrašas
Patarimas: ĮJUNKITE garsą ir žiūrėkite vaizdo įrašą viso ekrano režimu .
