SYS01 Похититель

К Mezo году в Malware, Stealers году

Перевести на:

Исследователи в области кибербезопасности обнаружили новую вредоносную программу для кражи информации, которая специально нацелена на учетные записи сотрудников Facebook в критически важной государственной инфраструктуре. Вредоносная программа под названием Sys01 Stealer распространяется через рекламу Google и поддельные учетные записи Facebook, рекламирующие контент для взрослых, игры и взломанное программное обеспечение. После загрузки вредоносное ПО запускается на компьютере жертвы посредством боковой загрузки DLL — метода, который позволяет вредоносному ПО избежать обнаружения программным обеспечением безопасности. Подробности о цепочке заражения и вредоносных возможностях угрозы были опубликованы в отчете экспертов по безопасности.

Методы распространения и выполнения, используемые Sys01 Stealer, аналогичны методам, используемым другим вредоносным ПО под названием « S1deload Steale r. S1deload Stealer также нацелился на учетные записи Facebook и YouTube для сбора данных. Опасность, которую представляют эти типы вредоносных программ, значительна, поскольку угрозы специально разработаны для кражи конфиденциальной информации и могут обойти определенные меры безопасности.

Оглавление

SYS01 Stealer нацелен на многочисленные отрасли, включая государственный сектор

Sys01 Stealer — это вредоносное ПО, которое с ноября 2022 года нацелено на сотрудников в различных отраслях, в том числе в правительстве и на производстве. Основная цель вредоносного ПО — извлечь конфиденциальную информацию, такую как учетные данные для входа в систему, файлы cookie, рекламу в Facebook и данные бизнес-аккаунта, от своих жертв.

Злоумышленники используют различные тактики, чтобы заманить своих жертв, в том числе с помощью рекламы или создания поддельных учетных записей Facebook. Эти объявления или поддельные учетные записи содержат URL-адрес, который ведет к ZIP-архиву, который рекламируется как содержащий фильм, игру или приложение.

ZIP-архив содержит загрузчик, легитимное приложение, имеющее уязвимость в боковой загрузке DLL, и небезопасную библиотеку, загружаемую неопубликованным образом. Эта библиотека удаляет установщик Inno-Setup, который устанавливает окончательную полезную нагрузку в виде приложения PHP. Это приложение содержит скомпрометированные скрипты, которые используются для сбора и кражи данных.

Злоумышленники использовали несколько языков программирования и кодировщики, чтобы затруднить обнаружение SYS01 Stealer

SYS01 Stealer использует PHP-скрипт для обеспечения устойчивости, устанавливая запланированную задачу в зараженной системе. Основной скрипт, выполняющий функции кражи информации, имеет несколько возможностей, в том числе возможность проверить, есть ли у жертвы учетная запись Facebook и вошел ли он в систему. Скрипт также может загружать и выполнять файлы с указанного URL-адреса, загружать файлы на командно-контрольный сервер и выполнять команды.

Согласно анализу, похититель информации использует несколько языков программирования, включая Rust, Python, PHP и расширенные кодировщики PHP, чтобы избежать обнаружения.

Настоятельно рекомендуется, чтобы организации внедрили политику нулевого доверия и ограничивали права пользователей на загрузку и установку программ, чтобы предотвратить заражение такими угрозами, как Sys01 Stealer. Поскольку Sys01 Stealer использует тактику социальной инженерии, пользователи должны быть осведомлены о методах, используемых злоумышленниками для их обнаружения и предотвращения.