SYS01 Diefstal
Onderzoekers op het gebied van cyberbeveiliging hebben een nieuwe informatiestelende malware ontdekt die zich specifiek richt op de Facebook-accounts van werknemers in kritieke overheidsinfrastructuur. De malware, genaamd Sys01 Stealer, wordt verspreid via Google-advertenties en valse Facebook-accounts die inhoud voor volwassenen, games en gekraakte software promoten. Eenmaal gedownload, wordt de malware uitgevoerd op de computer van het slachtoffer via DLL side-loading, een techniek waarmee de malware detectie door beveiligingssoftware kan voorkomen. Details over de infectieketen en de kwaadaardige mogelijkheden van de dreiging werden vrijgegeven in een rapport van beveiligingsexperts.
De distributie- en uitvoeringstechnieken die door Sys01 Stealer worden gebruikt, zijn vergelijkbaar met die van een andere malware genaamd ' S1deload Stealer . S1deload Stealer richtte zich ook op Facebook- en YouTube-accounts om gegevens te verzamelen. Het gevaar van dit soort malware is aanzienlijk, aangezien de bedreigingen specifiek zijn ontworpen om gevoelige informatie te stelen en bepaalde beveiligingsmaatregelen kunnen omzeilen.
Inhoudsopgave
SYS01 Stealer richt zich op tal van industrieën, waaronder de overheidssector
Sys01 Stealer is malware die zich sinds november 2022 richt op werknemers in verschillende sectoren, waaronder die bij de overheid en productie. Het primaire doel van de malware is om gevoelige informatie zoals inloggegevens, cookies, Facebook-advertenties en zakelijke accountgegevens van de slachtoffers te exfiltreren.
De aanvallers passen verschillende tactieken toe om hun slachtoffers te lokken, waaronder het gebruik van advertenties of het maken van nep-Facebook-accounts. Deze advertenties of valse accounts bevatten een URL die leidt naar een ZIP-archief waarvan wordt geadverteerd dat het een film, game of applicatie bevat.
Het ZIP-archief bevat een loader, een legitieme applicatie met een kwetsbaarheid in DLL side-loading, en een onveilige bibliotheek die side-loaded is. Deze bibliotheek laat het Inno-Setup-installatieprogramma vallen dat een laatste payload installeert in de vorm van een PHP-toepassing. Deze applicatie bevat gecompromitteerde scripts die worden gebruikt om gegevens te verzamelen en te exfiltreren.
Bedreigers gebruikten verschillende programmeertalen en encoders om SYS01 Stealer moeilijk te detecteren
De SYS01 Stealer gebruikt een PHP-script om persistentie te bereiken door een geplande taak op het geïnfecteerde systeem in te stellen. Het hoofdscript, dat de functionaliteit voor het stelen van informatie bevat, heeft meerdere mogelijkheden, waaronder de mogelijkheid om te controleren of het slachtoffer een Facebook-account heeft en is ingelogd. Het script kan ook bestanden downloaden en uitvoeren vanaf een aangewezen URL, bestanden uploaden naar een command-and-control-server en opdrachten uitvoeren.
Volgens de analyse gebruikt de informatiedief verschillende programmeertalen, waaronder Rust, Python, PHP en geavanceerde PHP-encoders, om detectie te voorkomen.
Het wordt ten zeerste aanbevolen dat organisaties een zero-trust-beleid implementeren en de rechten van gebruikers om programma's te downloaden en te installeren beperken om infecties door bedreigingen zoals de Sys01 Stealer te voorkomen. Omdat de Sys01 Stealer afhankelijk is van social engineering-tactieken, moeten gebruikers worden voorgelicht over de technieken die door tegenstanders worden gebruikt om ze te detecteren en te vermijden.
SYS01 Diefstal Video
Tip: Zet je geluid AAN en bekijk de video in de modus Volledig scherm.
