SYS01 Викрадач

До Mezo року в Malware, Stealers році

Перекласти на:

Дослідники з кібербезпеки виявили нову шкідливу програму для крадіжки інформації, яка спеціально націлена на облікові записи Facebook співробітників критичної державної інфраструктури. Зловмисне програмне забезпечення під назвою Sys01 Stealer поширюється через рекламу Google і підроблені облікові записи Facebook, які рекламують контент для дорослих, ігри та зламане програмне забезпечення. Після завантаження зловмисне програмне забезпечення запускається на комп’ютері жертви за допомогою бокового завантаження DLL, що дозволяє зловмисному програмному забезпеченню уникнути виявлення програмним забезпеченням безпеки. Подробиці про ланцюг зараження та шкідливі можливості загрози були опубліковані у звіті експертів з безпеки.

Методи розповсюдження та виконання, які використовує Sys01 Stealer, подібні до тих, що використовуються іншою шкідливою програмою під назвою « S1deload Steale r. S1deload Stealer також націлив облікові записи Facebook і YouTube для збору даних. Небезпека, створена цим типом зловмисного програмного забезпечення, є значною, оскільки загрози спеціально розроблені для викрадення конфіденційної інформації та можуть обійти певні заходи безпеки.

Зміст

SYS01 Stealer націлений на численні галузі, включаючи державний сектор

Sys01 Stealer — це зловмисне програмне забезпечення, націлене на працівників різних галузей промисловості з листопада 2022 року, включно з урядовими та виробничими. Основною метою зловмисного програмного забезпечення є вилучення конфіденційної інформації, такої як облікові дані для входу, файли cookie та дані рекламних і бізнес-облікових записів у Facebook від своїх жертв.

Зловмисники використовують різні тактики, щоб заманити своїх жертв, включно з використанням реклами або створенням підроблених акаунтів у Facebook. Ці оголошення або підроблені облікові записи містять URL-адресу, яка веде до ZIP-архіву, який рекламується як такий, що містить фільм, гру чи програму.

ZIP-архів містить завантажувач, який є законною програмою, яка має вразливість у боковому завантаженні DLL, і небезпечну бібліотеку, яка завантажується збоку. Ця бібліотека видаляє програму встановлення Inno-Setup, яка встановлює остаточне корисне навантаження у формі програми PHP. Ця програма містить скомпрометовані сценарії, які використовуються для збирання та викрадання даних.

Зловмисники використовували кілька мов програмування та кодери, щоб ускладнити виявлення SYS01 Stealer

SYS01 Stealer використовує PHP-скрипт для досягнення стійкості, встановлюючи заплановане завдання в зараженій системі. Основний сценарій, який виконує функцію викрадення інформації, має кілька можливостей, включаючи можливість перевірити, чи має жертва обліковий запис Facebook і чи вона ввійшла в систему. Сценарій також може завантажувати та виконувати файли з указаної URL-адреси, завантажувати файли на командно-контрольний сервер і виконувати команди.

Згідно з аналізом, викрадач інформації використовує кілька мов програмування, включаючи Rust, Python, PHP і розширені кодери PHP, щоб уникнути виявлення.

Організаціям наполегливо рекомендується застосовувати політику нульової довіри та обмежувати права користувачів на завантаження та встановлення програм, щоб запобігти зараженню такими загрозами, як Sys01 Stealer. Оскільки Sys01 Stealer покладається на тактику соціальної інженерії, користувачі повинні знати про методи, які використовують зловмисники для їх виявлення та уникнення.