SYS01 Zlodej
Výskumníci v oblasti kybernetickej bezpečnosti objavili nový malvér na kradnutie informácií, ktorý sa špecificky zameriava na účty zamestnancov na Facebooku v kritickej vládnej infraštruktúre. Malvér s názvom Sys01 Stealer sa šíri prostredníctvom reklám Google a falošných účtov na Facebooku, ktoré propagujú obsah pre dospelých, hry a cracknutý softvér. Po stiahnutí sa malvér spustí na počítači obete prostredníctvom bočného načítania DLL, čo je technika, ktorá umožňuje malvéru vyhnúť sa detekcii bezpečnostným softvérom. Podrobnosti o infekčnom reťazci a škodlivých schopnostiach hrozby boli zverejnené v správe bezpečnostných expertov.
Techniky distribúcie a spúšťania, ktoré používa Sys01 Stealer, sú podobné tým, ktoré používa iný malvér s názvom „ S1deload Steale r. S1deload Stealer sa tiež zameral na účty Facebook a YouTube na zber údajov. Nebezpečenstvo, ktoré predstavujú tieto typy malvéru, je značné, pretože hrozby sú špeciálne navrhnuté tak, aby ukradli citlivé informácie a môžu obísť určité bezpečnostné opatrenia.
Obsah
SYS01 Stealer sa zameriava na mnohé odvetvia vrátane vládneho sektora
Sys01 Stealer je malvér, ktorý sa od novembra 2022 zameriava na zamestnancov v rôznych odvetviach, vrátane tých vo vláde a výrobe. Primárnym cieľom malvéru je získať od obetí citlivé informácie, ako sú prihlasovacie údaje, súbory cookie a údaje o reklamách na Facebooku a obchodných účtoch.
Útočníci používajú rôzne taktiky, aby nalákali svoje obete, vrátane používania reklám alebo vytvárania falošných účtov na Facebooku. Tieto reklamy alebo falošné účty obsahujú adresu URL, ktorá vedie do archívu ZIP, ktorý je inzerovaný ako obsahujúci film, hru alebo aplikáciu.
Archív ZIP obsahuje zavádzač, čo je legitímna aplikácia, ktorá má zraniteľné miesto v načítavaní DLL zboku, a nebezpečnú knižnicu, ktorá sa načítava zboku. Táto knižnica zruší inštalačný program Inno-Setup, ktorý nainštaluje konečné užitočné zaťaženie vo forme aplikácie PHP. Táto aplikácia obsahuje kompromitované skripty, ktoré sa používajú na zber a extrakciu údajov.
Aktéri hrozieb použili niekoľko programovacích jazykov a kódovačov, aby sťažili detekciu SYS01 Stealer
SYS01 Stealer používa PHP skript na dosiahnutie perzistencie nastavením naplánovanej úlohy na infikovanom systéme. Hlavný skript, ktorý nesie funkciu kradnutia informácií, má viacero možností, vrátane možnosti skontrolovať, či má obeť účet na Facebooku a či je prihlásená. Skript môže tiež sťahovať a spúšťať súbory z určenej adresy URL, nahrávať súbory na príkazový a riadiaci server a vykonávať príkazy.
Podľa analýzy používa zlodej informácií niekoľko programovacích jazykov vrátane pokročilých kódovačov Rust, Python, PHP a PHP, aby sa vyhol detekcii.
Dôrazne sa odporúča, aby organizácie zaviedli politiku nulovej dôvery a obmedzili práva používateľov na sťahovanie a inštaláciu programov, aby sa zabránilo infekciám hrozbami, ako je Sys01 Stealer. Keďže Sys01 Stealer sa spolieha na taktiku sociálneho inžinierstva, používatelia musia byť poučení o technikách, ktoré používajú protivníci na ich odhalenie a vyhýbanie sa im.
SYS01 Zlodej Video
Tip: Zapnite si zvuk a sledujte video v režime celej obrazovky .
