SYS01 Stealer
Cybersäkerhetsforskare har upptäckt en ny skadlig programvara som stjäl information som specifikt riktar sig till Facebook-konton för anställda i kritisk statlig infrastruktur. Skadlig programvara, som heter Sys01 Stealer, distribueras via Google-annonser och falska Facebook-konton som marknadsför barnförbjudet innehåll, spel och knäckt programvara. När skadlig programvara har laddats ner exekveras den på offrets dator genom DLL-sidoladdning, en teknik som gör att skadlig programvara kan undvika upptäckt av säkerhetsprogramvara. Detaljer om infektionskedjan och hotets skadliga funktioner släpptes i en rapport från säkerhetsexperter.
Distributions- och exekveringsteknikerna som används av Sys01 Stealer liknar de som används av en annan skadlig programvara som heter ' S1deload Steale r. S1deload Stealer riktade också in sig på Facebook- och YouTube-konton för att samla in data. Faran som dessa typer av skadlig programvara utgör är betydande eftersom hoten är speciellt utformade för att stjäla känslig information och kan kringgå vissa säkerhetsåtgärder.
Innehållsförteckning
SYS01 Stealer riktar sig till många branscher, inklusive den statliga sektorn
Sys01 Stealer är skadlig programvara som har riktats mot anställda i olika branscher sedan november 2022, inklusive de inom myndigheter och tillverkning. Skadlig programvaras primära mål är att avlägsna känslig information som inloggningsuppgifter, cookies och Facebook-annonser och företagskontodata från dess offer.
Angriparna använder olika taktiker för att locka sina offer, inklusive att använda reklam eller skapa falska Facebook-konton. Dessa annonser eller falska konton innehåller en webbadress som leder till ett ZIP-arkiv som annonseras som innehållande en film, ett spel eller ett program.
ZIP-arkivet innehåller en loader, som är en legitim applikation som har en sårbarhet i DLL-sidoladdning, och ett osäkert bibliotek som är sidladdat. Detta bibliotek tar bort Inno-Setup-installationsprogrammet som installerar en sista nyttolast i form av en PHP-applikation. Denna applikation innehåller komprometterade skript som används för att samla in och exfiltrera data.
Hotaktörer använde flera programmeringsspråk och kodare för att göra SYS01 Stealer svårt att upptäcka
SYS01 Stealer använder ett PHP-skript för att uppnå uthållighet genom att ställa in en schemalagd uppgift på det infekterade systemet. Huvudskriptet, som har funktionen för informationsstöld, har flera funktioner, inklusive möjligheten att kontrollera om offret har ett Facebook-konto och är inloggad. Skriptet kan också ladda ner och köra filer från en angiven URL, ladda upp filer till en kommando-och-kontrollserver och exekvera kommandon.
Enligt analysen använder informationsstjälaren flera programmeringsspråk, inklusive Rust, Python, PHP och avancerade kodare för PHP, för att undvika upptäckt.
Det rekommenderas starkt att organisationer implementerar en nollförtroendepolicy och begränsar användarnas rättigheter att ladda ner och installera program för att förhindra infektioner av hot som Sys01 Stealer. Eftersom Sys01 Stealer förlitar sig på social ingenjörstaktik, måste användarna utbildas om de tekniker som används av motståndare för att upptäcka och undvika dem.
SYS01 Stealer Video
Tips: Slå PÅ ljudet och titta på videon i helskärmsläge .
