小心!新的高级恶意软件专攻政府关基设施
近日,Morphisec的网络安全研究人员发现了一种新的高级信息窃取程序,称为SYS01窃取程序,自2022年11月以来,该程序被用于针对关键政府基础设施员工、制造公司和其他部门的攻击。
专家们发现SYS01窃取程序与Bitdefender研究人员发现的另一种信息窃取恶意软件(跟踪为S1deload)之间存在相似之处。“目前已发现SYS01窃取者攻击关键的政府基础设施员工、制造公司和其他行业。攻击背后的威胁行为者通过谷歌广告和虚假的Facebook个人资料来瞄准Facebook商业账户,这些账户宣传游戏、成人内容和破解软件等内容,以引诱受害者下载恶意文件。该攻击旨在窃取敏感信息,包括登录数据、cookie以及Facebook广告和企业帐户信息。”
专家报告说,攻击于2022年5月首次被发现,攻击链首先引诱受害者点击虚假Facebook个人资料或广告中的URL,以下载假装有破解软件、游戏、电影等的ZIP文件。
打开ZIP文件后,将执行加载程序(通常采用合法C#应用程序的形式)。该应用程序容易受到DLL side-loading的攻击,这是一种用于在调用合法应用程序时加载恶意DLL的技术。
专家观察到威胁行为者滥用合法应用程序Western Digital的WDSyncService.exe和Garmin的ElevatedInstaller.exe来旁加载恶意负载。
最后一个阶段的恶意软件是基于PHP的SYS01stealer恶意软件,它能够窃取浏览器cookie并滥用经过身份验证的Facebook会话来窃取受害者Facebook帐户中的信息。
最终目标是劫持受害者管理的Facebook商业账户。
为了从受害者那里窃取Facebook会话cookie,恶意软件会扫描机器以查找流行的浏览器,包括Google Chrome、Microsoft Edge、Brave Browser和Firefox。对于它找到的每个浏览器,它都会提取所有存储的cookie,包括任何Facebook会话cookie。
该恶意软件还从受害者的个人Facebook帐户中窃取信息,包括姓名、电子邮件地址、出生日期和用户ID,以及其他数据,例如2FA代码、用户代理、IP地址和地理位置。
该恶意软件还能够将文件从受感染的系统上传到C2服务器,并执行C&C发送的命令。恶意代码还支持更新机制。
“防御该攻击的基本步骤,包括实施零信任政策和限制用户下载和安装程序的权利。SYS01窃取者本质上依赖于社会工程活动,因此培训用户了解对手使用的技巧非常重要。”Morphisec总结道。
文章网址:https://mp.weixin.qq.com/s/eAsKRCuRozTP5LTUygzQ4A
