SYS01 Stealer
Cybersikkerhetsforskere har oppdaget en ny skadelig programvare som stjeler informasjon som spesifikt retter seg mot Facebook-kontoene til ansatte i kritisk statlig infrastruktur. Skadevaren, kalt Sys01 Stealer, distribueres gjennom Google-annonser og falske Facebook-kontoer som promoterer voksent innhold, spill og cracket programvare. Når skadelig programvare er lastet ned, kjøres den på offerets datamaskin gjennom DLL-sidelasting, en teknikk som lar skadevare unngå oppdagelse av sikkerhetsprogramvare. Detaljer om infeksjonskjeden og trusselens ondsinnede evner ble utgitt i en rapport fra sikkerhetseksperter.
Distribusjons- og utførelsesteknikkene som brukes av Sys01 Stealer, ligner på de som brukes av en annen skadelig programvare kalt ' S1deload Steale r. S1deload Stealer målrettet også Facebook- og YouTube-kontoer for å høste data. Faren som denne typen skadelig programvare utgjør, er betydelig ettersom truslene er spesielt utviklet for å stjele sensitiv informasjon og kan omgå visse sikkerhetstiltak.
Innholdsfortegnelse
SYS01 Stealer retter seg mot en rekke bransjer, inkludert offentlig sektor
Sys01 Stealer er skadelig programvare som har vært rettet mot ansatte i forskjellige bransjer siden november 2022, inkludert de innen myndigheter og produksjon. Skadevarens primære mål er å fjerne sensitiv informasjon som påloggingsinformasjon, informasjonskapsler og Facebook-annonse- og forretningskontodata fra ofrene.
Angriperne bruker ulike taktikker for å lokke ofrene sine, inkludert å bruke annonser eller opprette falske Facebook-kontoer. Disse annonsene eller falske kontoene inneholder en URL som fører til et ZIP-arkiv som annonseres for å inneholde en film, et spill eller en applikasjon.
ZIP-arkivet inneholder en loader, som er en legitim applikasjon som har en sårbarhet i DLL side-loading, og et usikkert bibliotek som er side-loaded. Dette biblioteket slipper Inno-Setup-installasjonsprogrammet som installerer en endelig nyttelast i form av en PHP-applikasjon. Denne applikasjonen inneholder kompromitterte skript som brukes til å høste og eksfiltrere data.
Trusselaktører brukte flere programmeringsspråk og kodere for å gjøre SYS01 Stealer vanskelig å oppdage
SYS01 Stealer bruker et PHP-skript for å oppnå utholdenhet ved å sette en planlagt oppgave på det infiserte systemet. Hovedskriptet, som har funksjonaliteten som stjeler informasjon, har flere funksjoner, inkludert muligheten til å sjekke om offeret har en Facebook-konto og er logget inn. Skriptet kan også laste ned og kjøre filer fra en angitt URL, laste opp filer til en kommando-og-kontroll-server, og utføre kommandoer.
I følge analysen bruker informasjonstyveren flere programmeringsspråk, inkludert Rust, Python, PHP og PHP avanserte kodere, for å unngå oppdagelse.
Det anbefales sterkt at organisasjoner implementerer en null-tillit-policy og begrenser brukernes rettigheter til å laste ned og installere programmer for å forhindre infeksjoner fra trusler som Sys01 Stealer. Siden Sys01 Stealer er avhengig av sosial ingeniørtaktikk, må brukerne læres om teknikkene som brukes av motstandere for å oppdage og unngå dem.
SYS01 Stealer video
Tips: Slå PÅ lyden og se videoen i fullskjermmodus .
