SYS01 竊賊

網絡安全研究人員發現了一種新的信息竊取惡意軟件，專門針對關鍵政府基礎設施中員工的 Facebook 帳戶。這種名為 Sys01 Stealer 的惡意軟件正在通過谷歌廣告和虛假的 Facebook 帳戶進行傳播，這些帳戶宣傳成人內容、遊戲和破解軟件。下載後，惡意軟件會通過 DLL 側面加載在受害者的計算機上執行，這是一種允許惡意軟件避免被安全軟件檢測到的技術。安全專家在一份報告中發布了有關感染鍊和威脅的惡意功能的詳細信息。

Sys01 Stealer 使用的分發和執行技術類似於另一個名為“ S1deload Steale r”的惡意軟件使用的技術。 S1deload Stealer 還針對 Facebook 和 YouTube 帳戶收集數據。這些類型的惡意軟件帶來的危險非常大，因為這些威脅專門用於竊取敏感信息並可以繞過某些安全措施。

SYS01 竊取者針對包括政府部門在內的眾多行業

Sys01 Stealer 是一種惡意軟件，自 2022 年 11 月以來一直以不同行業的員工為目標，包括政府和製造業的員工。該惡意軟件的主要目標是從受害者那裡竊取敏感信息，例如登錄憑據、cookie 以及 Facebook 廣告和企業帳戶數據。

攻擊者採用各種策略來引誘受害者，包括使用廣告或創建虛假的 Facebook 帳戶。這些廣告或虛假帳戶包含一個指向 ZIP 存檔的 URL，該存檔被宣傳為包含電影、遊戲或應用程序。

ZIP 存檔包含一個加載程序，這是一個合法的應用程序，存在 DLL 側加載漏洞，以及一個不安全的庫，它是側加載的。該庫刪除 Inno-Setup 安裝程序，以 PHP 應用程序的形式安裝最終有效負載。此應用程序包含用於收集和洩露數據的受損腳本。

威脅行為者使用多種編程語言和編碼器使 SYS01 竊取者難以檢測

SYS01 Stealer 使用 PHP 腳本通過在受感染系統上設置計劃任務來實現持久性。承載信息竊取功能的主腳本具有多種功能，包括能夠檢查受害者是否有 Facebook 帳戶並已登錄。該腳本還可以從指定的 URL 下載並執行文件，將文件上傳到命令和控制服務器，並執行命令。

據分析，信息竊取者使用了多種編程語言，包括 Rust、Python、PHP 和 PHP 高級編碼器來避免檢測。

強烈建議組織實施零信任政策並限制用戶下載和安裝程序的權限，以防止被 Sys01 Stealer 等威脅感染。由於 Sys01 Stealer 依賴於社會工程學策略，因此必須讓用戶了解對手用來檢測和避開它們的技術。

SYS01 竊賊視頻

提示：把你的声音并观察在全屏模式下的视频。