SYS01 สตีลเลอร์
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบมัลแวร์ขโมยข้อมูลใหม่ที่กำหนดเป้าหมายบัญชี Facebook ของพนักงานในโครงสร้างพื้นฐานที่สำคัญของรัฐบาลโดยเฉพาะ มัลแวร์ชื่อ Sys01 Stealer ถูกเผยแพร่ผ่านโฆษณาของ Google และบัญชี Facebook ปลอมที่ส่งเสริมเนื้อหาสำหรับผู้ใหญ่ เกม และซอฟต์แวร์แคร็ก เมื่อดาวน์โหลดแล้ว มัลแวร์จะทำงานบนคอมพิวเตอร์ของเหยื่อผ่านการโหลดด้านข้าง DLL ซึ่งเป็นเทคนิคที่ช่วยให้มัลแวร์หลีกเลี่ยงการตรวจพบโดยซอฟต์แวร์ความปลอดภัย รายละเอียดเกี่ยวกับห่วงโซ่การติดไวรัสและความสามารถที่เป็นอันตรายของภัยคุกคามได้รับการเปิดเผยในรายงานโดยผู้เชี่ยวชาญด้านความปลอดภัย
เทคนิคการแจกจ่ายและการดำเนินการที่ใช้โดย Sys01 Stealer นั้นคล้ายกับที่ใช้โดยมัลแวร์อื่นที่ชื่อ ' S1deload Steale r S1deload Stealer ยังกำหนดเป้าหมายบัญชี Facebook และ YouTube เพื่อเก็บเกี่ยวข้อมูล อันตรายที่เกิดจากมัลแวร์ประเภทนี้มีความสำคัญเนื่องจากภัยคุกคามได้รับการออกแบบมาโดยเฉพาะเพื่อขโมยข้อมูลที่ละเอียดอ่อนและสามารถข้ามมาตรการรักษาความปลอดภัยบางอย่างได้
สารบัญ
SYS01 Stealer กำหนดเป้าหมายหลายอุตสาหกรรมรวมถึงภาครัฐ
Sys01 Stealer เป็นมัลแวร์ที่กำหนดเป้าหมายพนักงานในอุตสาหกรรมต่างๆ ตั้งแต่เดือนพฤศจิกายน 2565 รวมถึงหน่วยงานภาครัฐและภาคการผลิต วัตถุประสงค์หลักของมัลแวร์คือการสกัดข้อมูลที่ละเอียดอ่อน เช่น ข้อมูลรับรองการเข้าสู่ระบบ คุกกี้ โฆษณา Facebook และข้อมูลบัญชีธุรกิจจากผู้ที่ตกเป็นเหยื่อ
ผู้โจมตีใช้กลยุทธ์ต่างๆ เพื่อหลอกล่อเหยื่อ รวมถึงการใช้โฆษณาหรือสร้างบัญชี Facebook ปลอม โฆษณาหรือบัญชีปลอมเหล่านี้มี URL ที่นำไปสู่ไฟล์ ZIP ที่โฆษณาว่ามีภาพยนตร์ เกม หรือแอปพลิเคชัน
ไฟล์ ZIP มีตัวโหลดซึ่งเป็นแอปพลิเคชันที่ถูกต้องซึ่งมีช่องโหว่ในการโหลดด้านข้างของ DLL และไลบรารี่ที่ไม่ปลอดภัยที่โหลดด้านข้าง ไลบรารีนี้จะปล่อยตัวติดตั้ง Inno-Setup ที่ติดตั้งเพย์โหลดสุดท้ายในรูปแบบของแอปพลิเคชัน PHP แอปพลิเคชันนี้มีสคริปต์ที่ถูกบุกรุกซึ่งใช้ในการเก็บเกี่ยวและกรองข้อมูล
นักคุกคามใช้ภาษาโปรแกรมและตัวเข้ารหัสหลายตัวเพื่อทำให้ SYS01 Stealer ตรวจจับได้ยาก
SYS01 Stealer ใช้สคริปต์ PHP เพื่อให้คงอยู่โดยการตั้งค่างานที่กำหนดเวลาไว้บนระบบที่ติดไวรัส สคริปต์หลักซึ่งมีฟังก์ชันการขโมยข้อมูลมีความสามารถหลายอย่าง รวมถึงความสามารถในการตรวจสอบว่าเหยื่อมีบัญชี Facebook และเข้าสู่ระบบหรือไม่ สคริปต์ยังสามารถดาวน์โหลดและเรียกใช้ไฟล์จาก URL ที่กำหนด อัปโหลดไฟล์ไปยัง เซิร์ฟเวอร์คำสั่งและควบคุม และดำเนินการคำสั่ง
จากการวิเคราะห์พบว่าผู้ขโมยข้อมูลใช้ภาษาการเขียนโปรแกรมหลายภาษา รวมถึงตัวเข้ารหัสขั้นสูงของ Rust, Python, PHP และ PHP เพื่อหลีกเลี่ยงการตรวจจับ
ขอแนะนำอย่างยิ่งให้องค์กรต่างๆ ควรใช้นโยบาย Zero-Trust และจำกัดสิทธิ์ของผู้ใช้ในการดาวน์โหลดและติดตั้งโปรแกรมเพื่อป้องกันการติดไวรัสจากภัยคุกคาม เช่น Sys01 Stealer เนื่องจาก Sys01 Stealer อาศัยกลยุทธ์วิศวกรรมสังคม ผู้ใช้จึงต้องได้รับการศึกษาเกี่ยวกับเทคนิคที่ฝ่ายตรงข้ามใช้ในการตรวจจับและหลีกเลี่ยง
SYS01 สตีลเลอร์ วิดีโอ
เคล็ดลับ: เปิดเสียงของคุณและดูวิดีโอในโหมดเต็มหน้าจอ
