SYS01 Stealer
Pesquisadores de segurança cibernética descobriram um novo malware para roubo de informações que visa especificamente as contas do Facebook de funcionários em infraestrutura crítica do governo. O malware, chamado Sys01 Stealer, está sendo distribuído por meio de anúncios do Google e contas falsas do Facebook que promovem conteúdo adulto, jogos e software crackeado. Depois de baixado, o malware é executado no computador da vítima por meio de carregamento lateral de DLL, uma técnica que permite que o malware evite a detecção por software de segurança. Detalhes sobre a cadeia de infecção e os recursos maliciosos da ameaça foram divulgados em um relatório de especialistas em segurança.
As técnicas de distribuição e execução usadas pelo Sys01 Stealer são semelhantes às usadas por outro malware chamado ' S1deload Steale r. O S1deload Stealer também visava contas do Facebook e do YouTube para coletar dados. O perigo representado por esses tipos de malware é significativo, pois as ameaças são projetadas especificamente para roubar informações confidenciais e podem contornar certas medidas de segurança.
Índice
O laSYS01 Tem como Alvo Vários Setores, Inclusive o Setor Governamental
O Sys01 Stealer é um malware que tem como alvo funcionários de diferentes setores desde novembro de 2022, incluindo os do governo e da manufatura. O principal objetivo do malware é exfiltrar informações confidenciais, como credenciais de login, cookies e anúncios do Facebook e dados de contas comerciais de suas vítimas.
Os invasores empregam várias táticas para atrair suas vítimas, incluindo o uso de anúncios ou a criação de contas falsas no Facebook. Esses anúncios ou contas falsas contêm um URL que leva a um arquivo ZIP anunciado como contendo um filme, jogo ou aplicativo.
O arquivo ZIP contém um carregador, que é um aplicativo legítimo que possui uma vulnerabilidade no carregamento lateral de DLL e uma biblioteca não segura que é carregada lateralmente. Esta biblioteca descarta o instalador Inno-Setup que instala uma carga final na forma de um aplicativo PHP. Este aplicativo contém scripts comprometidos que são usados para coletar e exfiltrar dados.
Os Autores de Ameaças Usaram Várias Linguagens de Programação e Vodificadores para Dificultar a Detecção do SYS01 Stealer
O SYS01 Stealer usa um script PHP para obter persistência, definindo uma tarefa agendada no sistema infectado. O script principal, que carrega a funcionalidade de roubo de informações, tem vários recursos, incluindo a capacidade de verificar se a vítima tem uma conta no Facebook e está logada. O script também pode baixar e executar arquivos de um URL designado, fazer upload de arquivos para um servidor de comando e controle e executar comandos.
De acordo com a análise, o ladrão de informações usa várias linguagens de programação, incluindo Rust, Python, PHP e codificadores avançados de PHP, para evitar a detecção.
É altamente recomendável que as organizações implementem uma política de confiança zero e restrinjam os direitos dos usuários de baixar e instalar programas para evitar infecções por ameaças como o Sys01 Stealer. Como o Sys01 Stealer depende de táticas de engenharia social, os usuários devem ser instruídos sobre as técnicas usadas pelos adversários para detectá-los e evitá-los.
SYS01 Stealer Vídeo
Dica: Ligue o som e assistir o vídeo em modo de tela cheia.
