Kẻ đánh cắp SYS01
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một phần mềm độc hại đánh cắp thông tin mới nhắm mục tiêu cụ thể vào tài khoản Facebook của nhân viên trong cơ sở hạ tầng quan trọng của chính phủ. Phần mềm độc hại có tên Sys01 Stealer đang được phân phối thông qua các quảng cáo của Google và các tài khoản Facebook giả mạo nhằm quảng cáo nội dung người lớn, trò chơi và phần mềm bẻ khóa. Sau khi được tải xuống, phần mềm độc hại được thực thi trên máy tính của nạn nhân thông qua tải bên DLL, một kỹ thuật cho phép phần mềm độc hại tránh bị phần mềm bảo mật phát hiện. Chi tiết về chuỗi lây nhiễm và khả năng độc hại của mối đe dọa đã được các chuyên gia bảo mật công bố trong một báo cáo.
Các kỹ thuật phân phối và thực thi được sử dụng bởi Sys01 Stealer tương tự như các kỹ thuật được sử dụng bởi một phần mềm độc hại khác có tên ' S1deload Steale r. S1deload Stealer cũng nhắm mục tiêu các tài khoản Facebook và YouTube để thu thập dữ liệu. Mối nguy hiểm do các loại phần mềm độc hại này gây ra là rất lớn vì các mối đe dọa được thiết kế đặc biệt để đánh cắp thông tin nhạy cảm và có thể vượt qua một số biện pháp bảo mật nhất định.
Mục lục
Kẻ đánh cắp SYS01 nhắm mục tiêu vào nhiều ngành bao gồm cả khu vực chính phủ
Sys01 Stealer là phần mềm độc hại đã nhắm mục tiêu vào nhân viên trong các ngành khác nhau kể từ tháng 11 năm 2022, bao gồm cả những người trong chính phủ và sản xuất. Mục tiêu chính của phần mềm độc hại là lấy cắp thông tin nhạy cảm như thông tin đăng nhập, cookie cũng như dữ liệu tài khoản doanh nghiệp và quảng cáo Facebook từ nạn nhân.
Những kẻ tấn công sử dụng nhiều chiến thuật khác nhau để dụ nạn nhân của chúng, bao gồm sử dụng quảng cáo hoặc tạo tài khoản Facebook giả. Các quảng cáo hoặc tài khoản giả mạo này chứa URL dẫn đến kho lưu trữ ZIP được quảng cáo là chứa phim, trò chơi hoặc ứng dụng.
Kho lưu trữ ZIP chứa một trình tải, đây là một ứng dụng hợp pháp có lỗ hổng trong tải bên DLL và một thư viện không an toàn được tải bên. Thư viện này loại bỏ trình cài đặt Inno-Setup để cài đặt tải trọng cuối cùng dưới dạng ứng dụng PHP. Ứng dụng này chứa các tập lệnh bị xâm phạm được sử dụng để thu thập và lọc dữ liệu.
Các tác nhân đe dọa đã sử dụng một số ngôn ngữ lập trình và bộ mã hóa để khiến kẻ đánh cắp SYS01 khó bị phát hiện
Kẻ đánh cắp SYS01 sử dụng tập lệnh PHP để đạt được sự bền bỉ bằng cách đặt tác vụ theo lịch trình trên hệ thống bị nhiễm. Tập lệnh chính, mang chức năng đánh cắp thông tin, có nhiều khả năng, bao gồm khả năng kiểm tra xem nạn nhân có tài khoản Facebook và đăng nhập hay không. Tập lệnh cũng có thể tải xuống và thực thi tệp từ một URL được chỉ định, tải tệp lên một máy chủ chỉ huy và kiểm soát, và thực thi các lệnh.
Theo phân tích, kẻ đánh cắp thông tin sử dụng một số ngôn ngữ lập trình, bao gồm bộ mã hóa nâng cao Rust, Python, PHP và PHP để tránh bị phát hiện.
Chúng tôi đặc biệt khuyến nghị các tổ chức nên thực hiện chính sách không tin tưởng và hạn chế quyền của người dùng trong việc tải xuống và cài đặt chương trình để ngăn ngừa lây nhiễm bởi các mối đe dọa như Kẻ đánh cắp Sys01. Vì Sys01 Stealer dựa vào các chiến thuật kỹ thuật xã hội, nên người dùng phải được giáo dục về các kỹ thuật mà kẻ thù sử dụng để phát hiện và tránh chúng.
Kẻ đánh cắp SYS01 Video
Mẹo: BẬT âm thanh của bạn và xem video ở chế độ Toàn màn hình .
