新的高級惡意軟件專攻政府關(guān)基設施,大家小心
2023年03月11日
近日����,Morphisec 的網(wǎng)絡安全研究人員發(fā)現(xiàn)了一種新的高級信息竊取程序,稱為 SYS01 竊取程序���,自 2022 年 11 月以來�����,該程序被用于針對關(guān)鍵政府基礎(chǔ)設施員工���、制造公司和其他部門的攻擊。
專家們發(fā)現(xiàn) SYS01 竊取程序與 Bitdefender 研究人員發(fā)現(xiàn)的另一種信息竊取惡意軟件(跟蹤為 S1deload)之間存在相似之處��?���!拔覀円呀?jīng)看到 SYS01 竊取者攻擊關(guān)鍵的政府基礎(chǔ)設施員工�����、制造公司和其他行業(yè)�����。該活動背后的威脅行為者通過使用谷歌廣告和虛假的 Facebook 個人資料來瞄準 Facebook 商業(yè)賬戶�,這些賬戶宣傳游戲��、成人內(nèi)容和破解軟件等內(nèi)容���,以引誘受害者下載惡意文件���。該攻擊旨在竊取敏感信息,包括登錄數(shù)據(jù)�、cookie 以及 Facebook 廣告和企業(yè)帳戶信息?��!?/span>
專家報告說�����,該活動于2022年5月首次被發(fā)現(xiàn)���,Zscaler 研究人員將其與Zscaler 的Ducktail 行動聯(lián)系起來 ����。2022 年 7 月�����,WithSecure(前身為 F-Secure Business)的研究人員首次分析了DUCKTAIL 活動���,該活動針對在 Facebook 的商業(yè)和廣告平臺上運營的個人和組織。
攻擊鏈首先引誘受害者點擊虛假 Facebook 個人資料或廣告中的 URL���,以下載假裝有破解軟件�、游戲�����、電影等的 ZIP 文件��。
打開 ZIP 文件后���,將執(zhí)行加載程序(通常采用合法 C# 應用程序的形式)�。該應用程序容易受到 DLL side-loading的攻擊,這是一種用于在調(diào)用合法應用程序時加載惡意 DLL 的技術(shù)����。
專家觀察到威脅行為者濫用合法應用程序 Western Digital 的 WDSyncService.exe 和 Garmin 的 ElevatedInstaller.exe 來旁加載惡意負載。
最后一個階段的惡意軟件是基于 PHP 的 SYS01stealer 惡意軟件��,它能夠竊取瀏覽器 cookie 并濫用經(jīng)過身份驗證的 Facebook 會話來竊取受害者 Facebook 帳戶中的信息����。
最終目標是劫持受害者管理的 Facebook 商業(yè)賬戶。
為了從受害者那里竊取 Facebook 會話 cookie��,惡意軟件會掃描機器以查找流行的瀏覽器��,包括 Google Chrome�����、Microsoft Edge���、Brave Browser 和 Firefox���。對于它找到的每個瀏覽器,它都會提取所有存儲的 cookie,包括任何 Facebook 會話 cookie�。
該惡意軟件還從受害者的個人 Facebook 帳戶中竊取信息,包括姓名�����、電子郵件地址���、出生日期和用戶 ID��,以及其他數(shù)據(jù)���,例如 2FA 代碼、用戶代理���、IP 地址和地理位置
該惡意軟件還能夠?qū)⑽募氖芨腥镜南到y(tǒng)上傳到 C2 服務器,并執(zhí)行 C&C 發(fā)送的命令����。惡意代碼還支持更新機制。
“幫助防止 SYS01 竊取者的基本步驟包括實施零信任政策和限制用戶下載和安裝程序的權(quán)利���。SYS01 竊取者本質(zhì)上依賴于社會工程活動�,因此培訓用戶了解對手使用的技巧非常重要,這樣他們就知道如何發(fā)現(xiàn)他們�。” Morphisec 總結(jié)道�����,它還提供了妥協(xié)指標 (IoC)���。
來源:E安全
