SYS01 Hırsızı

Mezo'de Malware, Stealers'de

Çevir:

Siber güvenlik araştırmacıları, özellikle kritik devlet altyapısındaki çalışanların Facebook hesaplarını hedefleyen, bilgi çalan yeni bir kötü amaçlı yazılım keşfetti. Sys01 Stealer adlı kötü amaçlı yazılım, yetişkinlere uygun içeriği, oyunları ve crackli yazılımları tanıtan Google reklamları ve sahte Facebook hesapları aracılığıyla dağıtılıyor. İndirildikten sonra, kötü amaçlı yazılım, kurbanın bilgisayarında, kötü amaçlı yazılımın güvenlik yazılımı tarafından algılanmasını önlemesine olanak tanıyan bir teknik olan DLL yandan yükleme yoluyla yürütülür. Bulaşma zinciri ve tehdidin kötü amaçlı yetenekleri hakkındaki ayrıntılar, güvenlik uzmanları tarafından hazırlanan bir raporda yayınlandı.

Sys01 Stealer tarafından kullanılan dağıtım ve yürütme teknikleri, ' S1deload Steale r adlı başka bir kötü amaçlı yazılım tarafından kullanılanlara benzer. S1deload Stealer ayrıca veri toplamak için Facebook ve YouTube hesaplarını hedef aldı. Bu tür kötü amaçlı yazılımların oluşturduğu tehlike önemlidir, çünkü tehditler özellikle hassas bilgileri çalmak için tasarlanmıştır ve belirli güvenlik önlemlerini atlayabilir.

İçindekiler

SYS01 Stealer, Devlet Sektörü Dahil Çok Sayıda Sektörü Hedefliyor

Sys01 Stealer, Kasım 2022'den bu yana devlet ve imalat sektörlerindekiler dahil olmak üzere farklı sektörlerdeki çalışanları hedefleyen bir kötü amaçlı yazılımdır. Kötü amaçlı yazılımın birincil amacı, oturum açma kimlik bilgileri, tanımlama bilgileri ve Facebook reklam ve işletme hesabı verileri gibi hassas bilgileri kurbanlarından sızdırmaktır.

Saldırganlar, kurbanlarını cezbetmek için reklam kullanmak veya sahte Facebook hesapları oluşturmak da dahil olmak üzere çeşitli taktikler kullanıyor. Bu reklamlar veya sahte hesaplar, bir film, oyun veya uygulama içerdiği ilan edilen bir ZIP arşivine yönlendiren bir URL içerir.

ZIP arşivi, DLL yandan yüklemede güvenlik açığı olan meşru bir uygulama olan bir yükleyici ve yandan yüklenen güvenli olmayan bir kitaplık içerir. Bu kitaplık, PHP uygulaması biçiminde son bir yükü yükleyen Inno-Setup yükleyicisini kaldırır. Bu uygulama, verileri toplamak ve dışarı sızdırmak için kullanılan güvenliği ihlal edilmiş komut dosyaları içerir.

Tehdit Aktörleri, SYS01 Stealer'ın Tespitini Zor Hale Getirmek İçin Çeşitli Programlama Dilleri ve Kodlayıcılar Kullandı

SYS01 Stealer, virüslü sistemde zamanlanmış bir görev ayarlayarak kalıcılık elde etmek için bir PHP betiği kullanır. Bilgi çalma işlevini taşıyan ana komut dosyası, kurbanın bir Facebook hesabı olup olmadığını ve oturum açmış olup olmadığını kontrol etme yeteneği dahil olmak üzere birçok yeteneğe sahiptir. Komut dosyası ayrıca belirlenmiş bir URL'den dosyaları indirebilir ve çalıştırabilir, dosyaları bir komut ve kontrol sunucusu ve komutları yürütün.

Analize göre bilgi hırsızı, tespit edilmekten kaçınmak için Rust, Python, PHP ve PHP gelişmiş kodlayıcılar dahil olmak üzere birkaç programlama dili kullanıyor.

Sys01 Stealer gibi tehditlerin neden olduğu bulaşmaları önlemek için kuruluşların bir sıfır güven ilkesi uygulaması ve kullanıcıların program indirme ve yükleme haklarını kısıtlaması şiddetle tavsiye edilir. Sys01 Stealer, sosyal mühendislik taktiklerine dayandığından, kullanıcılar, düşmanların onları tespit etmek ve onlardan kaçınmak için kullandıkları teknikler konusunda eğitilmelidir.