SCAMMER.PRO

SCAMMER.PRO

SYS01stealer: новая угроза, использующая поддельную рекламу в Facebook*

  • 15:30

Исследователи кибербезопасности обнаружили новый похититель данных под названием SYS01stealer. Вредонос нацелен на сотрудников критической государственной инфраструктуры, производственных компаний и других секторов.

«Угрозы, стоящие за этой кампанией, нацелены на бизнес-аккаунты Facebook. Они используют Google Ads и поддельные профили Facebook, которые рекламируют игры, контент для взрослых, взломанное программное обеспечение и т.д., чтобы заманить жертв к загрузке вредоносного файла. Атаки направлены на кражу конфиденциальной информации, включая данные для входа в систему, cookie-файлы и информацию о бизнес-аккаунтах», — говорится в отчёте компании Morphisec — это компания, специализирующаяся на кибербезопасности. Она предоставляет решения для защиты от вредоносных программ и атак хакеров.
Основной продукт Morphisec — это платформа Morphisec Endpoint Threat Prevention, которая использует уникальный метод защиты от атак, называемый «нулевым доверием». Этот метод предполагает, что любое подозрительное поведение программы или процесса должно быть автоматически остановлено, даже если этих программ нет в списках известных угроз.
Компания работает с клиентами в различных отраслях, включая финансы, здравоохранение, производство и государственные учреждения.
Morphisec имеет партнерские отношения с другими компаниями в области кибербезопасности, такими как Microsoft и McAfee. За свои инновационные продукты и решения компания неоднократно получала различные награды.

‘ data-html=»true» data-original-title=»Morphisec»>Morphisec.

Представители Morphisec заявили, что вредоносная кампания изначально была связана с финансово мотивированной киберпреступной операцией, которую исследователи Zscaler — это основанная в 2008 году американская компания, предоставляющая решения в области кибербезопасности.
Основным продуктом компании является Zscaler Internet Access (ZIA), предоставляющий безопасный доступ в Интернет для организаций и их сотрудников. ZIA обеспечивает защиту от вредоносных программ, фишинга, атак DDoS и других угроз, используя облачные технологии.
Zscaler также предоставляет решения для защиты облачных приложений, анализа трафика, контроля доступа и управления политиками безопасности.

» data-html=»true» data-original-title=»Zscaler»>Zscaler назвали «Ducktail». Однако компания WithSecure (ранее F-Secure) – это компания в сфере кибербезопасности. WithSecure предлагает услуги и готовые решения для защиты информации и систем клиентов от различных угроз.

» data-html=»true» data-original-title=»WithSecure»>WithSecure, которая впервые задокументировала кластер активности Ducktail в июле 2022 года, заявила, что вредоносные кампании отличаются друг от друга. Эта путаница указывает на то, как злоумышленникам удалось сбить с толку экспертов кибербезопасности и избежать обнаружения.

Цепочка атак, согласно Morphisec, начинается тогда, когда жертва переходит по ссылке из поддельного профиля Facebook или рекламы Google Ads, чтобы загрузить ZIP-архив, замаскированный под взломанное программное обеспечение или контент для взрослых.

Открытие ZIP-файла запускает загрузчик на основе легитимного приложения C#, которое уязвимо для DLL — (с англ. Dynamic Link Library, динамически подключаемая библиотека) это библиотека, содержащая код и данные, которые могут использоваться несколькими программами одновременно.

» data-html=»true» data-original-title=»DLL»>DLL Sideloading, что позволяет загрузить вредоносный DLL-файл вместе с приложением.

Схема доставки SYS01stealer

Некоторыми приложениями, используемыми для загрузки мошеннической DLL, являются WDSyncService.exe от Western Digital и ElevatedInstaller.exe от Garmin. В некоторых случаях загруженная неопубликованная DLL-библиотека действует как средство для развертывания промежуточных исполняемых файлов на основе Python и Rust. Независимо от используемого подхода, все пути ведут к доставке установщика, который доставляет и запускает вредоносное ПО SYS01stealer на основе PHP.

Инфостилер разработан для сбора cookie-файлов Facebook из веб-браузеров на основе Chromium, эксфильтрации информации Facebook жертвы на удаленный сервер, а также загрузки и запуска произвольных файлов. Вредонос также может загружать файлы с зараженного хоста на C2-сервер – это термин, используемый в кибербезопасности, который и означающий командно-контрольный сервер. На C2-сервере обычно находится управляющее ПО, которое позволяет злоумышленнику удаленно контролировать и управлять компьютером жертвы, получать доступ к конфиденциальной информации и проводить другие атаки.
C2-серверы могут быть использованы для проведения различных видов кибератак, таких как кража конфиденциальных данных, шпионаж, распространение вредоносного ПО, проведение DDoS-атак и других.

» data-html=»true» data-original-title=»C2-сервер»>C2-сервер, выполнять его команды и обновлять себя при наличии свежей версии.

DLL Sideloading — перехват DLL-библиотеки, которую загружает программа. Вместо того, чтобы просто установить DLL в порядке поиска программы, а затем ожидать вызова приложения-жертвы, злоумышленник напрямую загружает свою полезную нагрузку, установив, а затем запустив легитимное приложение, которое выполняет его полезную нагрузку.

» data-html=»true» data-original-title=»DLL Sideloading»>«DLL Sideloading — это очень эффективный способ заставить системы Windows загружать вредоносный код. Когда приложение загружается в память, оно скачивает вредоносный файл вместо легитимного, позволяя злоумышленникам захватывать законные, надежные и даже подписанные приложения в своих зловредных целях», — сообщили специалисты Morphisec.

* Компания Meta и её продукты (Instagram и Facebook) признаны экстремистскими, их деятельность запрещена на территории РФ.

Источник

Секретная информация в Телеграм
SCAMMER.PRO
Telegram-plane Youtube