SYS01 vjedhës
Studiuesit e sigurisë kibernetike kanë zbuluar një malware të ri për vjedhjen e informacionit që synon në mënyrë specifike llogaritë e Facebook të punonjësve në infrastrukturën kritike të qeverisë. Malware, i quajtur Sys01 Stealer, po shpërndahet përmes reklamave të Google dhe llogarive të rreme në Facebook që promovojnë përmbajtje për të rritur, lojëra dhe softuer të dëmtuar. Pasi të shkarkohet, malware ekzekutohet në kompjuterin e viktimës përmes ngarkimit anësor DLL, një teknikë që lejon që malware të shmangë zbulimin nga softveri i sigurisë. Detaje në lidhje me zinxhirin e infeksionit dhe aftësitë dashakeqe të kërcënimit u publikuan në një raport nga ekspertët e sigurisë.
Teknikat e shpërndarjes dhe ekzekutimit të përdorura nga Sys01 Stealer janë të ngjashme me ato të përdorura nga një tjetër malware i quajtur ' S1deload Steale r. S1deload Stealer synoi gjithashtu llogaritë e Facebook dhe YouTube për të mbledhur të dhëna. Rreziku i paraqitur nga këto lloje malware është i rëndësishëm pasi kërcënimet janë krijuar posaçërisht për të vjedhur informacione të ndjeshme dhe mund të anashkalojnë disa masa sigurie.
Tabela e Përmbajtjes
SYS01 vjedhësi synon industri të shumta duke përfshirë sektorin qeveritar
Sys01 Stealer është malware që ka synuar punonjësit në industri të ndryshme që nga nëntori 2022, duke përfshirë ato në qeveri dhe në prodhim. Objektivi kryesor i malware është të nxjerrë informacione të ndjeshme si kredencialet e identifikimit, cookies dhe reklamat në Facebook dhe të dhënat e llogarisë së biznesit nga viktimat e tij.
Sulmuesit përdorin taktika të ndryshme për të joshur viktimat e tyre, duke përfshirë përdorimin e reklamave ose krijimin e llogarive të rreme në Facebook. Këto reklama ose llogari të rreme përmbajnë një URL që të çon në një arkiv ZIP që reklamohet se përmban një film, lojë ose aplikacion.
Arkivi ZIP përmban një ngarkues, i cili është një aplikacion legjitim që ka një cenueshmëri në ngarkimin anësor të DLL dhe një bibliotekë të pasigurt që ngarkohet anash. Kjo bibliotekë heq instaluesin Inno-Setup që instalon një ngarkesë përfundimtare në formën e një aplikacioni PHP. Ky aplikacion përmban skriptet e komprometuara që përdoren për të mbledhur dhe për të nxjerrë të dhëna.
Aktorët e kërcënimit përdorën disa gjuhë programimi dhe kodues për ta bërë vjedhësin SYS01 të vështirë për zbulim
SYS01 Stealer përdor një skript PHP për të arritur qëndrueshmëri duke vendosur një detyrë të planifikuar në sistemin e infektuar. Skripti kryesor, i cili mbart funksionin e vjedhjes së informacionit, ka aftësi të shumta, duke përfshirë aftësinë për të kontrolluar nëse viktima ka një llogari në Facebook dhe është i identifikuar. Skripti gjithashtu mund të shkarkojë dhe ekzekutojë skedarë nga një URL e caktuar, të ngarkojë skedarë në një server komanda dhe kontrolli dhe ekzekutoni komandat.
Sipas analizës, vjedhësi i informacionit përdor disa gjuhë programimi, duke përfshirë koduesit e avancuar të Rust, Python, PHP dhe PHP, për të shmangur zbulimin.
Rekomandohet fuqimisht që organizatat të zbatojnë një politikë të besimit zero dhe të kufizojnë të drejtat e përdoruesve për të shkarkuar dhe instaluar programe për të parandaluar infeksionet nga kërcënimet si "Sys01 Stealer". Meqenëse Sys01 Stealer mbështetet në taktikat e inxhinierisë sociale, përdoruesit duhet të edukohen rreth teknikave të përdorura nga kundërshtarët për t'i zbuluar dhe shmangur ato.
SYS01 vjedhës Video
Këshillë: Kthejeni tingullin tuaj dhe të shikojnë video në mënyrë të plotë ekran.
