SYS01 Pencuri
Penyelidik keselamatan siber telah menemui perisian hasad mencuri maklumat baharu yang secara khusus menyasarkan akaun Facebook pekerja dalam infrastruktur kerajaan yang kritikal. Malware, bernama Sys01 Stealer, sedang diedarkan melalui iklan Google dan akaun Facebook palsu yang mempromosikan kandungan dewasa, permainan dan perisian retak. Setelah dimuat turun, perisian hasad dilaksanakan pada komputer mangsa melalui pemuatan sisi DLL, satu teknik yang membolehkan perisian hasad mengelakkan pengesanan oleh perisian keselamatan. Butiran mengenai rantaian jangkitan dan keupayaan jahat ancaman itu dikeluarkan dalam laporan oleh pakar keselamatan.
Teknik pengedaran dan pelaksanaan yang digunakan oleh Sys01 Stealer adalah serupa dengan yang digunakan oleh perisian hasad lain bernama ' S1deload Steale r. S1deload Stealer juga menyasarkan akaun Facebook dan YouTube untuk menuai data. Bahaya yang ditimbulkan oleh jenis perisian hasad ini adalah penting kerana ancaman direka khusus untuk mencuri maklumat sensitif dan boleh memintas langkah keselamatan tertentu.
Isi kandungan
SYS01 Stealer Sasar Pelbagai Industri Termasuk Sektor Kerajaan
Sys01 Stealer ialah perisian hasad yang telah menyasarkan pekerja dalam industri yang berbeza sejak November 2022, termasuk mereka dalam kerajaan dan pembuatan. Objektif utama perisian hasad adalah untuk mengeluarkan maklumat sensitif seperti bukti kelayakan log masuk, kuki dan iklan Facebook dan data akaun perniagaan daripada mangsanya.
Penyerang menggunakan pelbagai taktik untuk menarik mangsa mereka, termasuk menggunakan iklan atau mencipta akaun Facebook palsu. Iklan atau akaun palsu ini mengandungi URL yang membawa kepada arkib ZIP yang diiklankan sebagai mengandungi filem, permainan atau aplikasi.
Arkib ZIP mengandungi pemuat, iaitu aplikasi sah yang mempunyai kerentanan dalam pemuatan sisi DLL dan pustaka yang tidak selamat yang dimuatkan secara sampingan. Pustaka ini melepaskan pemasang Inno-Setup yang memasang muatan akhir dalam bentuk aplikasi PHP. Aplikasi ini mengandungi skrip terjejas yang digunakan untuk menuai dan mengeluarkan data.
Aktor Ancaman Menggunakan Beberapa Bahasa Pengaturcaraan dan Pengekod untuk Membuat Pencuri SYS01 Sukar untuk Pengesanan
SYS01 Stealer menggunakan skrip PHP untuk mencapai kegigihan dengan menetapkan tugas berjadual pada sistem yang dijangkiti. Skrip utama, yang membawa fungsi mencuri maklumat, mempunyai pelbagai keupayaan, termasuk keupayaan untuk menyemak sama ada mangsa mempunyai akaun Facebook dan log masuk. Skrip juga boleh memuat turun dan melaksanakan fail dari URL yang ditetapkan, memuat naik fail ke pelayan arahan dan kawalan, dan laksanakan arahan.
Menurut analisis, pencuri maklumat menggunakan beberapa bahasa pengaturcaraan, termasuk pengekod lanjutan Rust, Python, PHP dan PHP, untuk mengelakkan pengesanan.
Adalah amat disyorkan bahawa organisasi hendaklah melaksanakan dasar sifar amanah dan menyekat hak pengguna untuk memuat turun dan memasang program untuk mencegah jangkitan oleh ancaman seperti Sys01 Stealer. Memandangkan Sys01 Stealer bergantung pada taktik kejuruteraan sosial, pengguna mesti dididik tentang teknik yang digunakan oleh musuh untuk mengesan dan mengelakkannya.
Video SYS01 Pencuri
Petua: HIDUPKAN bunyi anda dan tonton video dalam mod Skrin Penuh .
