2023年03月11日
近日,Morphisec 的網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)了一種新的高級(jí)信息竊取程序,稱為 SYS01 竊取程序,自 2022 年 11 月以來(lái),該程序被用于針對(duì)關(guān)鍵政府基礎(chǔ)設(shè)施員工、制造公司和其他部門的攻擊。
專家們發(fā)現(xiàn) SYS01 竊取程序與 Bitdefender 研究人員發(fā)現(xiàn)的另一種信息竊取惡意軟件(跟蹤為 S1deload)之間存在相似之處。“我們已經(jīng)看到 SYS01 竊取者攻擊關(guān)鍵的政府基礎(chǔ)設(shè)施員工、制造公司和其他行業(yè)。該活動(dòng)背后的威脅行為者通過(guò)使用谷歌廣告和虛假的 Facebook 個(gè)人資料來(lái)瞄準(zhǔn) Facebook 商業(yè)賬戶,這些賬戶宣傳游戲、成人內(nèi)容和破解軟件等內(nèi)容,以引誘受害者下載惡意文件。該攻擊旨在竊取敏感信息,包括登錄數(shù)據(jù)、cookie 以及 Facebook 廣告和企業(yè)帳戶信息。”
專家報(bào)告說(shuō),該活動(dòng)于2022年5月首次被發(fā)現(xiàn),Zscaler 研究人員將其與Zscaler 的Ducktail 行動(dòng)聯(lián)系起來(lái) 。2022 年 7 月,WithSecure(前身為 F-Secure Business)的研究人員首次分析了DUCKTAIL 活動(dòng),該活動(dòng)針對(duì)在 Facebook 的商業(yè)和廣告平臺(tái)上運(yùn)營(yíng)的個(gè)人和組織。
攻擊鏈?zhǔn)紫纫T受害者點(diǎn)擊虛假 Facebook 個(gè)人資料或廣告中的 URL,以下載假裝有破解軟件、游戲、電影等的 ZIP 文件。
打開(kāi) ZIP 文件后,將執(zhí)行加載程序(通常采用合法 C# 應(yīng)用程序的形式)。該應(yīng)用程序容易受到 DLL side-loading的攻擊,這是一種用于在調(diào)用合法應(yīng)用程序時(shí)加載惡意 DLL 的技術(shù)。
專家觀察到威脅行為者濫用合法應(yīng)用程序 Western Digital 的 WDSyncService.exe 和 Garmin 的 ElevatedInstaller.exe 來(lái)旁加載惡意負(fù)載。
最后一個(gè)階段的惡意軟件是基于 PHP 的 SYS01stealer 惡意軟件,它能夠竊取瀏覽器 cookie 并濫用經(jīng)過(guò)身份驗(yàn)證的 Facebook 會(huì)話來(lái)竊取受害者 Facebook 帳戶中的信息。
最終目標(biāo)是劫持受害者管理的 Facebook 商業(yè)賬戶。
為了從受害者那里竊取 Facebook 會(huì)話 cookie,惡意軟件會(huì)掃描機(jī)器以查找流行的瀏覽器,包括 Google Chrome、Microsoft Edge、Brave Browser 和 Firefox。對(duì)于它找到的每個(gè)瀏覽器,它都會(huì)提取所有存儲(chǔ)的 cookie,包括任何 Facebook 會(huì)話 cookie。
該惡意軟件還從受害者的個(gè)人 Facebook 帳戶中竊取信息,包括姓名、電子郵件地址、出生日期和用戶 ID,以及其他數(shù)據(jù),例如 2FA 代碼、用戶代理、IP 地址和地理位置
該惡意軟件還能夠?qū)⑽募氖芨腥镜南到y(tǒng)上傳到 C2 服務(wù)器,并執(zhí)行 C&C 發(fā)送的命令。惡意代碼還支持更新機(jī)制。
“幫助防止 SYS01 竊取者的基本步驟包括實(shí)施零信任政策和限制用戶下載和安裝程序的權(quán)利。SYS01 竊取者本質(zhì)上依賴于社會(huì)工程活動(dòng),因此培訓(xùn)用戶了解對(duì)手使用的技巧非常重要,這樣他們就知道如何發(fā)現(xiàn)他們?!?Morphisec 總結(jié)道,它還提供了妥協(xié)指標(biāo) (IoC)。
來(lái)源:E安全