Η εταιρεία ασφάλειας Endpoint Morphisec μοιράστηκε λεπτομέρειες για έναν κλέφτη πληροφοριών που έχει παρατηρηθεί να στοχεύει τους λογαριασμούς Facebook σημαντικών υπαλλήλων κρατικής υποδομής.

Το κακόβουλο λογισμικό  Sys01 Stealer διανέμεται μέσω διαφημίσεων Google και ψεύτικων λογαριασμών Facebook που προωθούν περιεχόμενο για ενηλίκους, παιχνίδια και σπασμένο λογισμικό και εκτελείται στον υπολογιστή του θύματος χρησιμοποιώντας πλευρική φόρτωση DLL.

Τον περασμένο μήνα, το Bitdefender παρουσίασε παρόμοιες τεχνικές διανομής και εκτέλεσης που χρησιμοποιούνται από το «S1deload Stealer», το οποίο στοχεύει λογαριασμούς Facebook και YouTube για συλλογή δεδομένων. Το τελικό ωφέλιμο φορτίο, ωστόσο, είναι διαφορετικό, σημειώνει η Morphisec.

Από τον Νοέμβριο του 2022, το Sys01 Stealer έχει στοχεύσει υπαλλήλους σε διάφορους κλάδους, συμπεριλαμβανομένης της κυβέρνησης και της μεταποίησης, εστιάζοντας στην εξαγωγή πληροφοριών όπως διαπιστευτήρια, cookies και δεδομένα διαφημίσεων και επαγγελματικών λογαριασμών στο Facebook.

Τα θύματα παρασύρονται να κάνουν κλικ σε μια διεύθυνση URL από μια διαφήμιση ή έναν ψεύτικο λογαριασμό Facebook για να κατεβάσουν ένα αρχείο ZIP που ισχυρίζεται ότι περιέχει μια ταινία, ένα παιχνίδι ή μια εφαρμογή.

Το αρχείο περιέχει έναν loader, ο οποίος είναι μια νόμιμη εφαρμογή ευάλωτη σε πλευρική φόρτωση DLL, και μια κακόβουλη βιβλιοθήκη που φορτώνεται πλευρικά για να απορρίψει το πρόγραμμα εγκατάστασης Inno-Setup, το οποίο με τη σειρά του αναπτύσσει το τελικό ωφέλιμο φορτίο με τη μορφή μιας εφαρμογής PHP που περιέχει κακόβουλα σενάρια για συλλογή και εξαγωγή δεδομένων.

Ένα σενάριο PHP είναι υπεύθυνο για την επίτευξη στόχου , ορίζοντας μια προγραμματισμένη εργασία, ενώ το κύριο σενάριο κλοπής περιλαμβάνει υποστήριξη για διάφορες εργασίες, συμπεριλαμβανομένης της δυνατότητας στους εισβολείς να ελέγχουν εάν το θύμα έχει λογαριασμό στο Facebook και εάν είναι συνδεδεμένο.

Το σενάριο υποστηρίζει επίσης τη λήψη και την εκτέλεση αρχείων από μια καθορισμένη διεύθυνση URL, μπορεί να ανεβάζει αρχεία στον διακομιστή εντολών και ελέγχου (C&C) και μπορεί να εκτελεί εντολές.

Η ανάλυση της απειλής της Morphisec αποκάλυψε επίσης τη χρήση προηγμένων κωδικοποιητών Rust, Python, PHP και PHP που βοήθησαν τον κλέφτη πληροφοριών να παραμείνει απαρατήρητος τους τελευταίους πέντε μήνες.

«Τα βασικά βήματα για την αποτροπή της κλοπής Sys01 περιλαμβάνουν την εφαρμογή μιας πολιτικής μηδενικής εμπιστοσύνης και τον περιορισμό των δικαιωμάτων των χρηστών για λήψη και εγκατάσταση προγραμμάτων. Και ο κλέφτης Sys01 βασίζεται σε μια καμπάνια κοινωνικής μηχανικής, επομένως είναι σημαντικό να εκπαιδεύουμε τους χρήστες σχετικά με τα κόλπα που χρησιμοποιούν οι αντίπαλοι, ώστε να ξέρουν πώς να τα εντοπίζουν», καταλήγει η Morphisec.