SYS01 Furător
Cercetătorii în domeniul securității cibernetice au descoperit un nou malware care fură informații care vizează în mod special conturile Facebook ale angajaților din infrastructura guvernamentală critică. Programul malware, denumit Sys01 Stealer, este distribuit prin reclame Google și conturi false de Facebook care promovează conținut pentru adulți, jocuri și software spart. Odată descărcat, malware-ul este executat pe computerul victimei prin DLL side-loading, o tehnică care permite malware-ului să evite detectarea de către software-ul de securitate. Detalii despre lanțul de infecție și capacitățile rău intenționate ale amenințării au fost publicate într-un raport al experților în securitate.
Tehnicile de distribuție și execuție utilizate de Sys01 Stealer sunt similare cu cele utilizate de un alt malware numit „ S1deload Steale r. S1deload Stealer a vizat și conturile Facebook și YouTube pentru a colecta date. Pericolul prezentat de aceste tipuri de malware este semnificativ, deoarece amenințările sunt concepute special pentru a fura informații sensibile și pot ocoli anumite măsuri de securitate.
Cuprins
SYS01 Stealer vizează numeroase industrii, inclusiv sectorul guvernamental
Sys01 Stealer este un malware care vizează angajații din diferite industrii din noiembrie 2022, inclusiv pe cei din guvern și producție. Obiectivul principal al malware-ului este acela de a filtra informații sensibile, cum ar fi acreditările de conectare, cookie-urile și datele despre reclamele Facebook și conturile de afaceri de la victimele sale.
Atacatorii folosesc diverse tactici pentru a-și atrage victimele, inclusiv folosind reclame sau crearea de conturi false de Facebook. Aceste anunțuri sau conturi false conțin o adresă URL care duce la o arhivă ZIP care este anunțată ca conține un film, un joc sau o aplicație.
Arhiva ZIP conține un încărcător, care este o aplicație legitimă care are o vulnerabilitate în încărcarea secundară a DLL și o bibliotecă nesigură care este încărcată lateral. Această bibliotecă elimină programul de instalare Inno-Setup care instalează o sarcină utilă finală sub forma unei aplicații PHP. Această aplicație conține scripturi compromise care sunt folosite pentru a colecta și a exfiltra date.
Actorii amenințărilor au folosit mai multe limbaje de programare și codificatoare pentru a face SYS01 Stealer dificil de detectat
SYS01 Stealer folosește un script PHP pentru a obține persistență prin setarea unei sarcini programate pe sistemul infectat. Scriptul principal, care include funcționalitatea de furt de informații, are capacități multiple, inclusiv capacitatea de a verifica dacă victima are un cont Facebook și este conectată. server de comandă și control și executați comenzi.
Conform analizei, furtul de informații folosește mai multe limbaje de programare, inclusiv codificatoare avansate Rust, Python, PHP și PHP, pentru a evita detectarea.
Se recomandă ferm ca organizațiile să implementeze o politică de încredere zero și să restricționeze drepturile utilizatorilor de a descărca și instala programe pentru a preveni infecțiile cu amenințări precum Sys01 Stealer. Deoarece Sys01 Stealer se bazează pe tactici de inginerie socială, utilizatorii trebuie să fie educați cu privire la tehnicile folosite de adversari pentru a le detecta și evita.
SYS01 Furător Video
Sfat: porniți sunetul și vizionați videoclipul în modul Ecran complet .
