近日,Morphisec 的網絡安全研究人員發現了一種新的高級信息竊取程序,稱為 SYS01 竊取程序,自 2022 年 11 月以來,該程序被用于針對關鍵政府基礎設施員工、制造公司和其他部門的攻擊。
專家們發現 SYS01 竊取程序與 Bitdefender 研究人員發現的另一種信息竊取惡意軟件(跟蹤為 S1deload)之間存在相似之處。“我們已經看到 SYS01 竊取者攻擊關鍵的政府基礎設施員工、制造公司和其他行業。該活動背后的威脅行為者通過使用谷歌廣告和虛假的 Facebook 個人資料來瞄準 Facebook 商業賬戶,這些賬戶宣傳游戲、成人內容和破解軟件等內容,以引誘受害者下載惡意文件。該攻擊旨在竊取敏感信息,包括登錄數據、cookie 以及 Facebook 廣告和企業帳戶信息。”
專家報告說,該活動于2022年5月首次被發現,Zscaler 研究人員將其與Zscaler 的Ducktail 行動聯系起來 。2022 年 7 月,WithSecure(前身為 F-Secure Business)的研究人員首次分析了DUCKTAIL 活動,該活動針對在 Facebook 的商業和廣告平臺上運營的個人和組織。
攻擊鏈首先引誘受害者點擊虛假 Facebook 個人資料或廣告中的 URL,以下載假裝有破解軟件、游戲、電影等的 ZIP 文件。
打開 ZIP 文件后,將執行加載程序(通常采用合法 C# 應用程序的形式)。該應用程序容易受到 DLL side-loading的攻擊,這是一種用于在調用合法應用程序時加載惡意 DLL 的技術。
專家觀察到威脅行為者濫用合法應用程序 Western Digital 的 WDSyncService.exe 和 Garmin 的 ElevatedInstaller.exe 來旁加載惡意負載。
最后一個階段的惡意軟件是基于 PHP 的 SYS01stealer 惡意軟件,它能夠竊取瀏覽器 cookie 并濫用經過身份驗證的 Facebook 會話來竊取受害者 Facebook 帳戶中的信息。
最終目標是劫持受害者管理的 Facebook 商業賬戶。
為了從受害者那里竊取 Facebook 會話 cookie,惡意軟件會掃描機器以查找流行的瀏覽器,包括 Google Chrome、Microsoft Edge、Brave Browser 和 Firefox。對于它找到的每個瀏覽器,它都會提取所有存儲的 cookie,包括任何 Facebook 會話 cookie。
該惡意軟件還從受害者的個人 Facebook 帳戶中竊取信息,包括姓名、電子郵件地址、出生日期和用戶 ID,以及其他數據,例如 2FA 代碼、用戶代理、IP 地址和地理位置
該惡意軟件還能夠將文件從受感染的系統上傳到 C2 服務器,并執行 C&C 發送的命令。惡意代碼還支持更新機制。
“幫助防止 SYS01 竊取者的基本步驟包括實施零信任政策和限制用戶下載和安裝程序的權利。SYS01 竊取者本質上依賴于社會工程活動,因此培訓用戶了解對手使用的技巧非常重要,這樣他們就知道如何發現他們。” Morphisec 總結道,它還提供了妥協指標 (IoC)。
