SYS01 zaglis
Kiberdrošības pētnieki ir atklājuši jaunu informācijas zagšanas ļaunprogrammatūru, kas īpaši vērsta uz kritiskās valdības infrastruktūras darbinieku Facebook kontiem. Ļaunprātīgā programmatūra ar nosaukumu Sys01 Stealer tiek izplatīta, izmantojot Google reklāmas un viltotus Facebook kontus, kas reklamē pieaugušajiem paredzētu saturu, spēles un uzlauztu programmatūru. Pēc lejupielādes ļaunprogrammatūra tiek izpildīta upura datorā, izmantojot DLL sānu ielādi — paņēmienu, kas ļauj ļaunprātīgai programmatūrai izvairīties no drošības programmatūras atklāšanas. Sīkāka informācija par infekcijas ķēdi un draudu ļaunprātīgajām iespējām tika publiskota drošības ekspertu ziņojumā.
Izplatīšanas un izpildes metodes, ko izmanto Sys01 Stealer, ir līdzīgas tām, kuras izmanto cita ļaunprogrammatūra ar nosaukumu S1deload Steale r. S1deload Stealer arī mērķēja uz Facebook un YouTube kontiem, lai iegūtu datus. Šāda veida ļaunprātīgas programmatūras radītās briesmas ir ievērojamas, jo draudi ir īpaši izstrādāti, lai nozagtu sensitīvu informāciju, un tie var apiet noteiktus drošības pasākumus.
Satura rādītājs
SYS01 zaglis ir paredzēts daudzām nozarēm, tostarp valdības sektoram
Sys01 Stealer ir ļaunprātīga programmatūra, kas kopš 2022. gada novembra ir vērsta pret darbiniekiem dažādās nozarēs, tostarp valdības un ražošanas nozarēs. Ļaunprātīgas programmatūras galvenais mērķis ir izfiltrēt no upuriem sensitīvu informāciju, piemēram, pieteikšanās akreditācijas datus, sīkfailus un Facebook reklāmu un uzņēmuma kontu datus.
Uzbrucēji izmanto dažādas taktikas, lai pievilinātu savus upurus, tostarp izmantojot reklāmas vai veidojot viltus Facebook kontus. Šajās reklāmās vai viltotajos kontos ir ietverts URL, kas novirza uz ZIP arhīvu, kas tiek reklamēts kā filma, spēle vai lietojumprogramma.
ZIP arhīvā ir ielādētājs, kas ir likumīga lietojumprogramma, kurai ir ievainojamība saistībā ar DLL sānu ielādi, un nedroša bibliotēka, kas tiek ielādēta no sāniem. Šī bibliotēka pamet Inno-Setup instalēšanas programmu, kas instalē pēdējo lietderīgo slodzi PHP lietojumprogrammas veidā. Šajā lietojumprogrammā ir apdraudēti skripti, kas tiek izmantoti datu ievākšanai un izfiltrēšanai.
Draudu dalībnieki izmantoja vairākas programmēšanas valodas un kodētājus, lai apgrūtinātu SYS01 zagļa noteikšanu
SYS01 Stealer izmanto PHP skriptu, lai panāktu noturību, iestatot ieplānotu uzdevumu inficētajā sistēmā. Galvenajam skriptam, kas nodrošina informācijas zagšanas funkcionalitāti, ir vairākas iespējas, tostarp iespēja pārbaudīt, vai upurim ir Facebook konts un vai viņš ir pieteicies. Skripts var arī lejupielādēt un izpildīt failus no norādītā URL, augšupielādēt failus uz komandu un vadības serveri un izpildīt komandas.
Saskaņā ar analīzi informācijas zaglis izmanto vairākas programmēšanas valodas, tostarp Rust, Python, PHP un PHP uzlabotos kodētājus, lai izvairītos no atklāšanas.
Organizācijām ir stingri ieteicams ieviest nulles uzticamības politiku un ierobežot lietotāju tiesības lejupielādēt un instalēt programmas, lai novērstu inficēšanos ar tādiem draudiem kā Sys01 Stealer. Tā kā Sys01 Stealer paļaujas uz sociālās inženierijas taktiku, lietotājiem ir jābūt izglītotiem par paņēmieniem, ko pretinieki izmanto, lai tos atklātu un izvairītos no tiem.
SYS01 zaglis video
Padoms. Ieslēdziet skaņu un skatieties video pilnekrāna režīmā .
