SYS01 Dieb
Cybersicherheitsforscher haben eine neue Informationen stehlende Malware entdeckt, die speziell auf die Facebook-Konten von Mitarbeitern in kritischer Regierungsinfrastruktur abzielt. Die Malware mit dem Namen Sys01 Stealer wird über Google-Anzeigen und gefälschte Facebook-Konten verbreitet, die Inhalte für Erwachsene, Spiele und geknackte Software bewerben. Nach dem Herunterladen wird die Malware auf dem Computer des Opfers durch seitliches Laden von DLLs ausgeführt, eine Technik, die es der Malware ermöglicht, der Erkennung durch Sicherheitssoftware zu entgehen. Details zur Infektionskette und den bösartigen Fähigkeiten der Bedrohung wurden in einem Bericht von Sicherheitsexperten veröffentlicht.
Die von Sys01 Stealer verwendeten Verteilungs- und Ausführungstechniken ähneln denen, die von einer anderen Malware namens „ S1deload Steale r. S1deload Stealer zielte auch auf Facebook- und YouTube-Konten ab, um Daten zu sammeln. Die Gefahr, die von dieser Art von Malware ausgeht, ist erheblich, da die Bedrohungen speziell darauf ausgelegt sind, vertrauliche Informationen zu stehlen und bestimmte Sicherheitsmaßnahmen umgehen können.
Inhaltsverzeichnis
SYS01 Stealer zielt auf zahlreiche Branchen, einschließlich des Regierungssektors
Sys01 Stealer ist eine Malware, die seit November 2022 auf Mitarbeiter in verschiedenen Branchen abzielt, einschließlich derer in Regierung und Fertigung. Das Hauptziel der Malware besteht darin, vertrauliche Informationen wie Anmeldeinformationen, Cookies sowie Facebook-Anzeigen- und Geschäftskontodaten von ihren Opfern zu exfiltrieren.
Die Angreifer wenden verschiedene Taktiken an, um ihre Opfer anzulocken, einschließlich der Verwendung von Werbung oder der Erstellung gefälschter Facebook-Konten. Diese Anzeigen oder gefälschten Konten enthalten eine URL, die zu einem ZIP-Archiv führt, das mit einem Film, Spiel oder einer Anwendung beworben wird.
Das ZIP-Archiv enthält einen Loader, bei dem es sich um eine legitime Anwendung handelt, die eine Schwachstelle beim seitlichen Laden von DLLs aufweist, und eine unsichere Bibliothek, die seitlich geladen wird. Diese Bibliothek legt das Inno-Setup-Installationsprogramm ab, das eine endgültige Nutzlast in Form einer PHP-Anwendung installiert. Diese Anwendung enthält kompromittierte Skripte, die zum Sammeln und Exfiltrieren von Daten verwendet werden.
Bedrohungsakteure verwendeten mehrere Programmiersprachen und Encoder, um die Erkennung von SYS01 Stealer zu erschweren
Der SYS01-Stealer verwendet ein PHP-Skript, um Persistenz zu erreichen, indem er eine geplante Aufgabe auf dem infizierten System einrichtet. Das Hauptskript, das die Funktion zum Stehlen von Informationen enthält, verfügt über mehrere Funktionen, einschließlich der Möglichkeit, zu überprüfen, ob das Opfer ein Facebook-Konto hat und angemeldet ist. Das Skript kann auch Dateien von einer bestimmten URL herunterladen und ausführen, Dateien auf einen hochladen Command-and-Control-Server und führt Befehle aus.
Der Analyse zufolge verwendet der Informationsdieb mehrere Programmiersprachen, darunter Rust, Python, PHP und erweiterte PHP-Encoder, um eine Erkennung zu vermeiden.
Es wird dringend empfohlen, dass Organisationen eine Zero-Trust-Richtlinie implementieren und die Rechte der Benutzer zum Herunterladen und Installieren von Programmen einschränken, um Infektionen durch Bedrohungen wie Sys01 Stealer zu verhindern. Da der Sys01 Stealer auf Social-Engineering-Taktiken angewiesen ist, müssen Benutzer über die Techniken aufgeklärt werden, die von Angreifern verwendet werden, um sie zu erkennen und zu vermeiden.
SYS01 Dieb Video
Tipp: Schalten Sie Ihren Ton EIN und sehen Sie sich das Video im Vollbildmodus an .
