SYS01 Złodziej
Analitycy cyberbezpieczeństwa odkryli nowe złośliwe oprogramowanie kradnące informacje, które w szczególności atakuje konta na Facebooku pracowników krytycznej infrastruktury rządowej. Złośliwe oprogramowanie o nazwie Sys01 Stealer jest dystrybuowane za pośrednictwem reklam Google i fałszywych kont na Facebooku, które promują treści dla dorosłych, gry i złamane oprogramowanie. Po pobraniu złośliwe oprogramowanie jest uruchamiane na komputerze ofiary poprzez ładowanie boczne DLL, technikę, która pozwala złośliwemu oprogramowaniu uniknąć wykrycia przez oprogramowanie zabezpieczające. Szczegółowe informacje na temat łańcucha infekcji i złośliwych możliwości tego zagrożenia zostały ujawnione w raporcie ekspertów ds. bezpieczeństwa.
Techniki dystrybucji i wykonywania używane przez Sys01 Stealer są podobne do tych używanych przez inne złośliwe oprogramowanie o nazwie „ S1deload Steale r. S1deload Stealer atakował również konta na Facebooku i YouTube w celu zbierania danych. Zagrożenie stwarzane przez tego typu złośliwe oprogramowanie jest znaczne, ponieważ zagrożenia te są specjalnie zaprojektowane do kradzieży poufnych informacji i mogą ominąć niektóre środki bezpieczeństwa.
Spis treści
SYS01 Stealer atakuje liczne branże, w tym sektor rządowy
Sys01 Stealer to złośliwe oprogramowanie, które od listopada 2022 r. atakuje pracowników różnych branż, w tym rządowych i produkcyjnych. Głównym celem złośliwego oprogramowania jest eksfiltracja poufnych informacji, takich jak dane logowania, pliki cookie, reklamy na Facebooku i dane kont firmowych od ofiar.
Atakujący stosują różne taktyki, aby zwabić swoje ofiary, w tym za pomocą reklam lub tworzenia fałszywych kont na Facebooku. Te reklamy lub fałszywe konta zawierają adres URL, który prowadzi do archiwum ZIP reklamowanego jako zawierające film, grę lub aplikację.
Archiwum ZIP zawiera moduł ładujący, który jest legalną aplikacją, która ma lukę w ładowaniu bocznym bibliotek DLL, oraz niebezpieczną bibliotekę, która jest ładowana z boku. Ta biblioteka upuszcza instalator Inno-Setup, który instaluje końcowy ładunek w postaci aplikacji PHP. Ta aplikacja zawiera skompromitowane skrypty, które służą do zbierania i eksfiltracji danych.
Aktorzy tworzący zagrożenie używali kilku języków programowania i koderów, aby utrudnić wykrycie SYS01 Stealer
SYS01 Stealer używa skryptu PHP do osiągnięcia trwałości poprzez ustawienie zaplanowanego zadania w zainfekowanym systemie. Główny skrypt, który niesie ze sobą funkcję kradzieży informacji, posiada wiele możliwości, w tym możliwość sprawdzenia, czy ofiara ma konto na Facebooku i czy jest zalogowana. Skrypt może również pobierać i uruchamiać pliki z wyznaczonego adresu URL, przesyłać pliki do serwer dowodzenia i kontroli oraz wykonywać polecenia.
Według analizy, złodziej informacji wykorzystuje kilka języków programowania, w tym Rust, Python, PHP i zaawansowane kodery PHP, aby uniknąć wykrycia.
Zdecydowanie zaleca się, aby organizacje wdrożyły politykę zerowego zaufania i ograniczyły prawa użytkowników do pobierania i instalowania programów, aby zapobiegać infekcjom takimi zagrożeniami, jak Sys01 Stealer. Ponieważ Sys01 Stealer opiera się na taktyce socjotechnicznej, użytkownicy muszą zostać poinformowani o technikach stosowanych przez przeciwników w celu ich wykrycia i uniknięcia.
SYS01 Złodziej wideo
Wskazówka: Proszę włączyć dźwięk ON i oglądać filmy w trybie pełnoekranowym.
