新型恶意软件SYS01stealer使用Facebook广告攻击关键基础设施公司

网络安全研究人员发现了一种名为SYS01stealer的新型信息窃取程序，它针对关键的政府基础设施员工、制造公司和其他部门。

Morphisec在一份报告中指出：“该活动背后的威胁行为者通过使用谷歌广告和虚假的Facebook个人资料来瞄准Facebook商业账户，攻击者在这些账户宣传游戏、成人内容和破解软件等内容以引诱受害者下载恶意文件。”

“这次攻击旨在窃取敏感信息，包括登录数据、cookie 以及Facebook广告和企业帐户信息。”

这家以色列网络安全公司表示，该活动最初与Zscaler称为Ducktail的出于经济动机的网络犯罪活动有关。

然而，于2022年7月首次记录Ducktail活动集群的WithSecure表示，这两个入侵集彼此不同，表明威胁行为者如何设法混淆归因工作并逃避检测。

根据Morphisec，当受害者被成功引诱点击虚假Facebook个人资料或广告中的URL以下载声称是破解软件或成人主题内容的ZIP存档时，攻击链就开始了。

打开 ZIP 文件会启动一个基于加载程序（通常是合法的C#应用程序），该加载程序容易受到DLL侧加载的影响，从而可能与应用程序一起加载恶意动态链接库 (DLL) 文件。

一些被滥用来侧加载流氓DLL的应用程序是Western Digital的WDSyncService.exe和Garmin的ElevatedInstaller.exe。在某些情况下，侧加载的DLL充当部署Python和基于Rust的中间可执行文件的手段。

无论采用何种方法，所有道路都会导致安装程序的交付，该安装程序会投放并执行基于PHP的SYS01stealer恶意软件。

窃取器旨在从基于Chromium的网络浏览器（例如Google Chrome、Microsoft Edge、Brave、Opera和Vivaldi）获取Facebook cookie，将受害者的Facebook信息泄露到远程服务器，并下载和运行任意文件。发现最新的恶意软件规避策略。

它还可以将文件从受感染的主机上传到命令和控制(C2)服务器，运行服务器发送的命令，并在新版本可用时更新自身。

随着Bitdefender披露了一个名为S1deload的类似窃取活动，该活动旨在劫持用户的Facebook和YouTube帐户，并利用受感染的系统来挖掘加密货币。

“DLL side-loading是一种非常有效的技术，可以诱骗Windows系统加载恶意代码，”Morphisec说。

“当一个应用程序加载到内存中并且搜索顺序没有被强制执行时，该应用程序将加载恶意文件而不是合法文件，从而允许威胁行为者劫持合法、可信甚至签名的应用程序来加载和执行恶意负载。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/4771.html