СИС01 Стеалер
Истраживачи сајбер безбедности открили су нови малвер за крађу информација који посебно циља на Фејсбук налоге запослених у критичној владиној инфраструктури. Малвер, назван Сис01 Стеалер, дистрибуира се преко Гоогле реклама и лажних Фејсбук налога који промовишу садржај за одрасле, игре и крековани софтвер. Након преузимања, малвер се извршава на рачунару жртве путем ДЛЛ бочног учитавања, технике која омогућава малверу да избегне откривање од стране безбедносног софтвера. Детаљи о ланцу инфекције и злонамерним могућностима претње објављени су у извештају стручњака за безбедност.
Технике дистрибуције и извршавања које користи Сис01 Стеалер сличне су онима које користи други малвер под називом ' С1делоад Стеале р. С1делоад Стеалер је такође циљао Фацебоок и ИоуТубе налоге да би прикупио податке. Опасност коју представљају ове врсте малвера је значајна јер су претње посебно дизајниране да краду осетљиве информације и могу да заобиђу одређене безбедносне мере.
Преглед садржаја
СИС01 Стеалер циља бројне индустрије, укључујући државни сектор
Сис01 Стеалер је малвер који је од новембра 2022. циљао запослене у различитим индустријама, укључујући оне у влади и производњи. Примарни циљ злонамерног софтвера је да ексфилтрира осетљиве информације као што су акредитиви за пријаву, колачићи и подаци о Фацебоок огласима и пословним налозима од својих жртава.
Нападачи користе различите тактике како би намамили своје жртве, укључујући коришћење реклама или креирање лажних Фацебоок налога. Ови огласи или лажни налози садрже УРЛ који води до ЗИП архиве за коју се рекламира да садржи филм, игру или апликацију.
ЗИП архива садржи учитавач, који је легитимна апликација која има рањивост у бочном учитавању ДЛЛ-а и небезбедну библиотеку која је бочно учитана. Ова библиотека испушта инсталациони програм Инно-Сетуп који инсталира коначни корисни терет у облику ПХП апликације. Ова апликација садржи компромитоване скрипте које се користе за прикупљање и ексфилтрирање података.
Актери претње користили су неколико програмских језика и кодера да би отежали откривање СИС01 крадљивца
СИС01 Стеалер користи ПХП скрипту да постигне постојаност постављањем заказаног задатка на зараженом систему. Главна скрипта, која носи функцију крађе информација, има вишеструке могућности, укључујући могућност да провери да ли жртва има Фацебоок налог и да ли је пријављена. Скрипта такође може да преузима и извршава датотеке са одређене УРЛ адресе, отпрема датотеке на командно-контролни сервер и извршавање команди.
Према анализи, крадљивац информација користи неколико програмских језика, укључујући Руст, Питхон, ПХП и ПХП напредне енкодере, како би избегао откривање.
Снажно се препоручује да организације имплементирају политику нултог поверења и ограниче права корисника да преузимају и инсталирају програме како би спречили инфекције претњама као што је Сис01 Стеалер. Пошто се Сис01 Стеалер ослања на тактику друштвеног инжењеринга, корисници морају бити образовани о техникама које противници користе да би их открили и избегли.
СИС01 Стеалер Видео
Савет: Укључите звук и гледајте видео у режиму целог екрана .
