新的高級惡意軟件專攻政府關(guān)基設(shè)施,大家小心
2023年03月11日
近日����,Morphisec 的網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)了一種新的高級信息竊取程序,稱為 SYS01 竊取程序��,自 2022 年 11 月以來����,該程序被用于針對關(guān)鍵政府基礎(chǔ)設(shè)施員工、制造公司和其他部門的攻擊�����。
專家們發(fā)現(xiàn) SYS01 竊取程序與 Bitdefender 研究人員發(fā)現(xiàn)的另一種信息竊取惡意軟件(跟蹤為 S1deload)之間存在相似之處��。“我們已經(jīng)看到 SYS01 竊取者攻擊關(guān)鍵的政府基礎(chǔ)設(shè)施員工���、制造公司和其他行業(yè)�。該活動背后的威脅行為者通過使用谷歌廣告和虛假的 Facebook 個(gè)人資料來瞄準(zhǔn) Facebook 商業(yè)賬戶����,這些賬戶宣傳游戲��、成人內(nèi)容和破解軟件等內(nèi)容�,以引誘受害者下載惡意文件。該攻擊旨在竊取敏感信息�����,包括登錄數(shù)據(jù)�、cookie 以及 Facebook 廣告和企業(yè)帳戶信息?�!?/span>
專家報(bào)告說���,該活動于2022年5月首次被發(fā)現(xiàn)�,Zscaler 研究人員將其與Zscaler 的Ducktail 行動聯(lián)系起來 ��。2022 年 7 月,WithSecure(前身為 F-Secure Business)的研究人員首次分析了DUCKTAIL 活動�����,該活動針對在 Facebook 的商業(yè)和廣告平臺上運(yùn)營的個(gè)人和組織����。
攻擊鏈?zhǔn)紫纫T受害者點(diǎn)擊虛假 Facebook 個(gè)人資料或廣告中的 URL,以下載假裝有破解軟件�����、游戲�����、電影等的 ZIP 文件����。
打開 ZIP 文件后,將執(zhí)行加載程序(通常采用合法 C# 應(yīng)用程序的形式)��。該應(yīng)用程序容易受到 DLL side-loading的攻擊��,這是一種用于在調(diào)用合法應(yīng)用程序時(shí)加載惡意 DLL 的技術(shù)����。
專家觀察到威脅行為者濫用合法應(yīng)用程序 Western Digital 的 WDSyncService.exe 和 Garmin 的 ElevatedInstaller.exe 來旁加載惡意負(fù)載���。
最后一個(gè)階段的惡意軟件是基于 PHP 的 SYS01stealer 惡意軟件,它能夠竊取瀏覽器 cookie 并濫用經(jīng)過身份驗(yàn)證的 Facebook 會話來竊取受害者 Facebook 帳戶中的信息��。
最終目標(biāo)是劫持受害者管理的 Facebook 商業(yè)賬戶��。
為了從受害者那里竊取 Facebook 會話 cookie���,惡意軟件會掃描機(jī)器以查找流行的瀏覽器,包括 Google Chrome�、Microsoft Edge、Brave Browser 和 Firefox����。對于它找到的每個(gè)瀏覽器,它都會提取所有存儲的 cookie�����,包括任何 Facebook 會話 cookie����。
該惡意軟件還從受害者的個(gè)人 Facebook 帳戶中竊取信息�,包括姓名���、電子郵件地址����、出生日期和用戶 ID���,以及其他數(shù)據(jù)�,例如 2FA 代碼��、用戶代理���、IP 地址和地理位置
該惡意軟件還能夠?qū)⑽募氖芨腥镜南到y(tǒng)上傳到 C2 服務(wù)器�,并執(zhí)行 C&C 發(fā)送的命令���。惡意代碼還支持更新機(jī)制���。
“幫助防止 SYS01 竊取者的基本步驟包括實(shí)施零信任政策和限制用戶下載和安裝程序的權(quán)利。SYS01 竊取者本質(zhì)上依賴于社會工程活動��,因此培訓(xùn)用戶了解對手使用的技巧非常重要���,這樣他們就知道如何發(fā)現(xiàn)他們�����?��!?Morphisec 總結(jié)道����,它還提供了妥協(xié)指標(biāo) (IoC)�����。
來源:E安全
