SYS01 Tatuj
Raziskovalci kibernetske varnosti so odkrili novo zlonamerno programsko opremo za krajo informacij, ki cilja posebej na račune Facebook zaposlenih v kritični vladni infrastrukturi. Zlonamerna programska oprema, imenovana Sys01 Stealer, se distribuira prek Googlovih oglasov in lažnih Facebook računov, ki promovirajo vsebino za odrasle, igre in vlomljeno programsko opremo. Ko je zlonamerna programska oprema prenesena, se izvede v računalniku žrtve s stranskim nalaganjem DLL, tehniko, ki zlonamerni programski opremi omogoča, da se izogne odkrivanju varnostne programske opreme. Podrobnosti o verigi okužb in zlonamernih zmožnostih grožnje so bile objavljene v poročilu varnostnih strokovnjakov.
Tehnike distribucije in izvajanja, ki jih uporablja Sys01 Stealer, so podobne tistim, ki jih uporablja druga zlonamerna programska oprema, imenovana S1deload Steale r. S1deload Stealer je ciljal tudi na račune Facebook in YouTube za zbiranje podatkov. Nevarnost, ki jo predstavljajo te vrste zlonamerne programske opreme, je velika, saj so grožnje zasnovane posebej za krajo občutljivih podatkov in lahko obidejo določene varnostne ukrepe.
Kazalo
SYS01 Stealer cilja na številne industrije, vključno z vladnim sektorjem
Sys01 Stealer je zlonamerna programska oprema, ki od novembra 2022 cilja na zaposlene v različnih panogah, vključno s tistimi v vladi in proizvodnji. Glavni cilj zlonamerne programske opreme je od svojih žrtev pridobiti občutljive podatke, kot so poverilnice za prijavo, piškotki ter podatki o oglasih in poslovnih računih na Facebooku.
Napadalci uporabljajo različne taktike, da zvabijo svoje žrtve, vključno z uporabo oglasov ali ustvarjanjem lažnih računov na Facebooku. Ti oglasi ali lažni računi vsebujejo URL, ki vodi do arhiva ZIP, za katerega se oglašuje, da vsebuje film, igro ali aplikacijo.
Arhiv ZIP vsebuje nalagalnik, ki je zakonita aplikacija, ki ima ranljivost pri stranskem nalaganju DLL, in nevarno knjižnico, ki je stransko naložena. Ta knjižnica spusti namestitveni program Inno-Setup, ki namesti končni koristni tovor v obliki aplikacije PHP. Ta aplikacija vsebuje ogrožene skripte, ki se uporabljajo za zbiranje in izločanje podatkov.
Akterji groženj so uporabili več programskih jezikov in kodirnikov, da bi otežili odkrivanje SYS01 Stealerja
SYS01 Stealer uporablja skript PHP za doseganje obstojnosti z nastavitvijo načrtovane naloge v okuženem sistemu. Glavni skript, ki nosi funkcijo kraje informacij, ima več zmožnosti, vključno z možnostjo preverjanja, ali ima žrtev račun Facebook in ali je prijavljen. Skript lahko tudi prenese in izvede datoteke z določenega URL-ja, naloži datoteke na ukazno-nadzorni strežnik in izvajanje ukazov.
Glede na analizo uporablja kraj informacij več programskih jezikov, vključno z Rust, Python, PHP in naprednimi kodirniki PHP, da bi se izognil odkrivanju.
Močno priporočamo, da organizacije uvedejo politiko ničelnega zaupanja in omejijo pravice uporabnikov do prenosa in namestitve programov, da preprečijo okužbe z grožnjami, kot je Sys01 Stealer. Ker se Sys01 Stealer opira na taktike socialnega inženiringa, morajo biti uporabniki poučeni o tehnikah, ki jih uporabljajo nasprotniki, da jih odkrijejo in se jim izognejo.
SYS01 Tatuj Video
Nasvet: Obrnite zvok ON in si ogledate video v Full Screen načinu.
