SYS01 Magnanakaw

Sa pamamagitan ng Mezo sa Malware, Stealers

Isalin To:

Natuklasan ng mga mananaliksik sa cybersecurity ang isang bagong malware sa pagnanakaw ng impormasyon na partikular na nagta-target sa mga Facebook account ng mga empleyado sa kritikal na imprastraktura ng gobyerno. Ang malware, na pinangalanang Sys01 Stealer, ay ipinamamahagi sa pamamagitan ng mga Google advertisement at pekeng Facebook account na nagpo-promote ng pang-adult na content, mga laro, at sirang software. Kapag na-download na, ipapatupad ang malware sa computer ng biktima sa pamamagitan ng DLL side-loading, isang pamamaraan na nagpapahintulot sa malware na maiwasan ang pagtuklas ng software ng seguridad. Ang mga detalye tungkol sa chain ng impeksyon at ang mga nakakahamak na kakayahan ng banta ay inilabas sa isang ulat ng mga eksperto sa seguridad.

Ang mga diskarte sa pamamahagi at pagpapatupad na ginagamit ng Sys01 Stealer ay katulad ng ginagamit ng isa pang malware na pinangalanang ' S1deload Steale r. Na-target din ng S1deload Stealer ang mga Facebook at YouTube account para mag-harvest ng data. Ang panganib na dulot ng mga ganitong uri ng malware ay makabuluhan dahil ang mga banta ay partikular na idinisenyo upang magnakaw ng sensitibong impormasyon at maaaring lampasan ang ilang mga hakbang sa seguridad.

Talaan ng mga Nilalaman

Tinatarget ng SYS01 Stealer ang Maraming Industriya Kasama ang Sektor ng Gobyerno

Ang Sys01 Stealer ay malware na nagta-target sa mga empleyado sa iba't ibang industriya mula noong Nobyembre 2022, kabilang ang mga nasa gobyerno at pagmamanupaktura. Ang pangunahing layunin ng malware ay i-exfiltrate ang sensitibong impormasyon tulad ng mga kredensyal sa pag-log in, cookies, at Facebook ad at data ng account ng negosyo mula sa mga biktima nito.

Gumagamit ang mga umaatake ng iba't ibang taktika upang akitin ang kanilang mga biktima, kabilang ang paggamit ng mga ad o paggawa ng mga pekeng Facebook account. Ang mga ad o pekeng account na ito ay naglalaman ng URL na humahantong sa isang ZIP archive na ina-advertise bilang naglalaman ng isang pelikula, laro, o application.

Ang ZIP archive ay naglalaman ng loader, na isang lehitimong application na may kahinaan sa DLL side-loading, at isang hindi ligtas na library na side-loaded. Ibinabagsak ng library na ito ang installer ng Inno-Setup na nag-i-install ng panghuling payload sa anyo ng isang PHP application. Ang application na ito ay naglalaman ng mga nakompromisong script na ginagamit upang mag-ani at mag-exfiltrate ng data.

Gumamit ang mga Threat Actor ng Ilang Programming Language at Encoder para Mahirap Matukoy ang SYS01 Stealer

Gumagamit ang SYS01 Stealer ng script ng PHP upang makamit ang pagtitiyaga sa pamamagitan ng pagtatakda ng nakaiskedyul na gawain sa nahawaang sistema. Ang pangunahing script, na nagdadala ng functionality na pagnanakaw ng impormasyon, ay may maraming mga kakayahan, kabilang ang kakayahang suriin kung ang biktima ay may Facebook account at naka-log in. Ang script ay maaari ding mag-download at magsagawa ng mga file mula sa isang itinalagang URL, mag-upload ng mga file sa isang command-and-control server, at magsagawa ng mga command.

Ayon sa pagsusuri, ang information stealer ay gumagamit ng ilang programming language, kabilang ang Rust, Python, PHP, at PHP advanced encoders, upang maiwasan ang pagtuklas.

Lubos na inirerekomenda na ang mga organisasyon ay dapat magpatupad ng isang zero-trust na patakaran at paghigpitan ang mga karapatan ng mga user na mag-download at mag-install ng mga program upang maiwasan ang mga impeksyon ng mga banta tulad ng Sys01 Stealer. Dahil umaasa ang Sys01 Stealer sa mga taktika ng social engineering, ang mga user ay dapat na turuan tungkol sa mga diskarteng ginagamit ng mga kalaban para makita at maiwasan ang mga ito.