SYS01 窃贼

网络安全研究人员发现了一种新的信息窃取恶意软件，专门针对关键政府基础设施中员工的 Facebook 帐户。这种名为 Sys01 Stealer 的恶意软件正在通过谷歌广告和虚假的 Facebook 帐户进行传播，这些帐户宣传成人内容、游戏和破解软件。下载后，恶意软件会通过 DLL 侧面加载在受害者的计算机上执行，这是一种允许恶意软件避免被安全软件检测到的技术。安全专家在一份报告中发布了有关感染链和威胁的恶意功能的详细信息。

Sys01 Stealer 使用的分发和执行技术类似于另一个名为“ S1deload Steale r”的恶意软件使用的技术。 S1deload Stealer 还针对 Facebook 和 YouTube 帐户收集数据。这些类型的恶意软件带来的危险非常大，因为这些威胁专门用于窃取敏感信息并可以绕过某些安全措施。

SYS01 窃取者针对包括政府部门在内的众多行业

Sys01 Stealer 是一种恶意软件，自 2022 年 11 月以来一直以不同行业的员工为目标，包括政府和制造业的员工。该恶意软件的主要目标是从受害者那里窃取敏感信息，例如登录凭据、cookie 以及 Facebook 广告和企业帐户数据。

攻击者采用各种策略来引诱受害者，包括使用广告或创建虚假的 Facebook 帐户。这些广告或虚假帐户包含一个指向 ZIP 存档的 URL，该存档被宣传为包含电影、游戏或应用程序。

ZIP 存档包含一个加载程序，这是一个合法的应用程序，存在 DLL 侧加载漏洞，以及一个不安全的库，它是侧加载的。该库删除 Inno-Setup 安装程序，以 PHP 应用程序的形式安装最终有效负载。此应用程序包含用于收集和泄露数据的受损脚本。

威胁行为者使用多种编程语言和编码器使 SYS01 窃取者难以检测

SYS01 Stealer 使用 PHP 脚本通过在受感染系统上设置计划任务来实现持久性。承载信息窃取功能的主脚本具有多种功能，包括能够检查受害者是否有 Facebook 帐户并已登录。该脚本还可以从指定的 URL 下载并执行文件，将文件上传到命令和控制服务器，并执行命令。

据分析，信息窃取者使用了多种编程语言，包括 Rust、Python、PHP 和 PHP 高级编码器来避免检测。

强烈建议组织实施零信任策略并限制用户下载和安装程序的权限，以防止被 Sys01 Stealer 等威胁感染。由于 Sys01 Stealer 依赖于社会工程策略，因此必须对用户进行培训，让他们了解对手用来检测和避免它们的技术。

SYS01 窃贼视频

提示：把你的声音并观察在全屏模式下的视频。