Voleur SYS01
Les chercheurs en cybersécurité ont découvert un nouveau logiciel malveillant de vol d'informations qui cible spécifiquement les comptes Facebook des employés des infrastructures gouvernementales critiques. Le malware, nommé Sys01 Stealer, est distribué via des publicités Google et de faux comptes Facebook qui font la promotion de contenus pour adultes, de jeux et de logiciels piratés. Une fois téléchargé, le logiciel malveillant est exécuté sur l'ordinateur de la victime via le chargement latéral de DLL, une technique qui permet au logiciel malveillant d'éviter d'être détecté par un logiciel de sécurité. Des détails sur la chaîne d'infection et les capacités malveillantes de la menace ont été publiés dans un rapport d'experts en sécurité.
Les techniques de distribution et d'exécution utilisées par Sys01 Stealer sont similaires à celles utilisées par un autre malware nommé ' S1deload Steale r. S1deload Stealer a également ciblé les comptes Facebook et YouTube pour récolter des données. Le danger posé par ces types de logiciels malveillants est important car les menaces sont spécifiquement conçues pour voler des informations sensibles et peuvent contourner certaines mesures de sécurité.
Table des matières
SYS01 Stealer cible de nombreuses industries, y compris le secteur gouvernemental
Sys01 Stealer est un logiciel malveillant qui cible les employés de différents secteurs depuis novembre 2022, y compris ceux du gouvernement et de la fabrication. L'objectif principal du logiciel malveillant est d'exfiltrer des informations sensibles telles que les identifiants de connexion, les cookies et les données des publicités Facebook et des comptes professionnels de ses victimes.
Les attaquants emploient diverses tactiques pour attirer leurs victimes, notamment en utilisant des publicités ou en créant de faux comptes Facebook. Ces publicités ou faux comptes contiennent une URL qui mène à une archive ZIP annoncée comme contenant un film, un jeu ou une application.
L'archive ZIP contient un chargeur, qui est une application légitime qui présente une vulnérabilité dans le chargement latéral de DLL, et une bibliothèque non sécurisée qui est chargée latéralement. Cette bibliothèque dépose le programme d'installation Inno-Setup qui installe une charge utile finale sous la forme d'une application PHP. Cette application contient des scripts compromis qui sont utilisés pour récolter et exfiltrer des données.
Les acteurs de la menace ont utilisé plusieurs langages de programmation et encodeurs pour rendre SYS01 Stealer difficile à détecter
Le Stealer SYS01 utilise un script PHP pour assurer la persistance en définissant une tâche planifiée sur le système infecté. Le script principal, qui porte la fonctionnalité de vol d'informations, a plusieurs capacités, y compris la capacité de vérifier si la victime a un compte Facebook et est connectée. Le script peut également télécharger et exécuter des fichiers à partir d'une URL désignée, télécharger des fichiers vers un serveur de commande et de contrôle et exécuter des commandes.
Selon l'analyse, le voleur d'informations utilise plusieurs langages de programmation, dont Rust, Python, PHP et les encodeurs avancés PHP, pour éviter la détection.
Il est fortement recommandé aux organisations de mettre en œuvre une politique de confiance zéro et de restreindre les droits des utilisateurs à télécharger et à installer des programmes pour prévenir les infections par des menaces telles que Sys01 Stealer. Étant donné que le Sys01 Stealer s'appuie sur des tactiques d'ingénierie sociale, les utilisateurs doivent être informés des techniques utilisées par les adversaires pour les détecter et les éviter.
Voleur SYS01 Vidéo
Astuce: Activez votre son et regarder la vidéo en mode plein écran.
