Контакты
Подписка 2024
Защищенный Linux
23 мая. Инструменты миграции на защищенный Linux
Регистрируйтесь на онлайн-конференцию!

SYS01stealer: новая угроза, использующая поддельную рекламу в Facebook*

09/03/23

hack32-Mar-09-2023-10-48-51-1226-AM

Исследователи кибербезопасности обнаружили новый похититель данных под названием SYS01stealer. Вредонос нацелен на сотрудников критической государственной инфраструктуры, производственных компаний и других секторов, пишет Securitylab.

«Угрозы, стоящие за этой кампанией, нацелены на бизнес-аккаунты Facebook. Они используют Google Ads и поддельные профили Facebook, которые рекламируют игры, контент для взрослых, взломанное программное обеспечение и т.д., чтобы заманить жертв к загрузке вредоносного файла. Атаки направлены на кражу конфиденциальной информации, включая данные для входа в систему, cookie-файлы и информацию о бизнес-аккаунтах», — говорится в отчёте компании Morphisec.

Представители Morphisec заявили, что вредоносная кампания изначально была связана с финансово мотивированной киберпреступной операцией, которую исследователи Zscaler назвали «Ducktail». Однако компания WithSecure, которая впервые задокументировала кластер активности Ducktail в июле 2022 года, заявила, что вредоносные кампании отличаются друг от друга. Эта путаница указывает на то, как злоумышленникам удалось сбить с толку экспертов кибербезопасности и избежать обнаружения.

Цепочка атак, согласно Morphisec, начинается тогда, когда жертва переходит по ссылке из поддельного профиля Facebook или рекламы Google Ads, чтобы загрузить ZIP-архив, замаскированный под взломанное программное обеспечение или контент для взрослых.

Открытие ZIP-файла запускает загрузчик на основе легитимного приложения C#, которое уязвимо для DLL Sideloading, что позволяет загрузить вредоносный DLL-файл вместе с приложением.

Некоторыми приложениями, используемыми для загрузки мошеннической DLL, являются WDSyncService.exe от Western Digital и ElevatedInstaller.exe от Garmin. В некоторых случаях загруженная неопубликованная DLL-библиотека действует как средство для развертывания промежуточных исполняемых файлов на основе Python и Rust. Независимо от используемого подхода, все пути ведут к доставке установщика, который доставляет и запускает вредоносное ПО SYS01stealer на основе PHP.

Инфостилер разработан для сбора cookie-файлов Facebook из веб-браузеров на основе Chromium, эксфильтрации информации Facebook жертвы на удаленный сервер, а также загрузки и запуска произвольных файлов. Вредонос также может загружать файлы с зараженного хоста на C2-сервер, выполнять его команды и обновлять себя при наличии свежей версии.

«DLL Sideloading — это очень эффективный способ заставить системы Windows загружать вредоносный код. Когда приложение загружается в память, оно скачивает вредоносный файл вместо легитимного, позволяя злоумышленникам захватывать законные, надежные и даже подписанные приложения в своих зловредных целях», — сообщили специалисты Morphisec.

* Компания Meta и её продукты (Instagram и Facebook) признаны экстремистскими, их деятельность запрещена на территории РФ.

Темы:FacebookУгрозыонлайн-рекламахищение данных
NGFW
28 июня. Комплексный подход к кибербезопасности. Защита АСУ ТП. Безопасность КИИ
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...