Featured image of post SYS01 Stealer Facebook iş hesaplarını ve tarayıcı bilgilerini hedefler
Security

SYS01 Stealer Facebook iş hesaplarını ve tarayıcı bilgilerini hedefler

SYS01 enfeksiyon zinciri bilgi çalmak için DLL sideloading kullanır. İşinizi bu siber tehditten nasıl koruyacağınızı öğrenin.

Cybersecurity concept identity theft, Database hacks, internet cyber crime. hacker attack, Hacking and stealing data. damage the system and hack the data.

Resim: SomYuZu / Adobe Stock Morphisec, İsrail’e dayanan bir güvenlik çözümü sağlayıcısı, gelişmiş bir bilgi çalmacının bildirdi SYS01 olarak adlandırılan yazılımlar erişim çalmayı hedefliyor Facebook iş hesaplarına ve Kromium tabanlı tarayıcılara göre. Morphisec’in araştırmacısı da SYS01 yazılımlarının kritik hükümet altyapı çalışanlarına, üretim şirketlerine ve diğer endüstrilere saldırdığını gördü.

Bu malware saldırısı başka bir kampanyaya benzer S1deload Stealer Bitdefender tarafından, ancak son ödeme yükü aynı değil, SYS01’in gizli saldırı kampanyasının arkasında olduğu gibi açık soruyu terk ediyor.

Jump to:

  • SYS01 enfeksiyon zinciri
  • SYS01 bilgi çalar
  • SYS01 belirli verileri çalıyor
  • SYS01 yazılım tehdidinden nasıl korunulur SYS01 enfeksiyon zinciri

SYS01 malware saldırısı sahte bir Facebook profilinden bir URL’ye tıklayarak, reklamdan veya canlı yayınlara, ücretsiz uygulamalara, filmlere veya oyunlara bağlantıya tıklayın. Kullanıcı cazibesine tıkladığında, bir ZIP arşiv dosyasının indirilmesi başlar.

ZIP dosyası bir yükleyici parçası ve son bir ücret yükü içerir. Yükleyici kısmı, kırılgan olan meşru bir uygulamadan oluşur DLL sideloading . Kurban meşru dosyayı çalıştırırken, meşru uygulama olarak aynı klasörde bulunan bir DLL dosyasında yer alan ilk bir ücret yükü sessizce yükler.

Morphisec araştırmacısı Arnold Osipov tarafından belirtildiği gibi, yükleyici Rust ve Python executables gibi herhangi bir tür executable dosya olabilir. Ancak, davranış her zaman aynı şeydir: Kodu ZIP dosyasında bulunan kötü bir DLL dosyasından uygular.

Kötü niyetli DLL sırayla bir Inno-Setup installer that decompresses and drop PHP kodu çalmak ve exfiltating information (İngilizce). Şekil A ).

Şekil A

Infection chain for the SYS01 attack.

Resim: Morphisec. SYS01 saldırısı için enfeksiyon zinciri. Farklı senaryolar yükleyici kısmı ile olabilir. Başlangıçlar için, ZIP dosyası gerekli ikinci aşama ödeme yükü içerebilir. ZIP dosyasında değilse, ikinci aşama ödeme yükü muhtemelen kodlanmış ve idam edilmeden önce bir saldırgan kontrollü C2 sunucusundan indirilir.

SYS01 bilgi çalar

Yükleyici başarıyla tamamlandıktan sonra, Inno-Setup installer idam edilir. installer ek dosyalarla bir PHP uygulamasını azaltır:

  • Index.php.php Ana malware işlevlerinden sorumludur.
  • Ekle.php Planlanan görevler aracılığıyla yazılımları devam ettirir; installer tarafından yürütülen dosyadır.
  • Version.php malware versiyonunu içerir.
  • Rhc.exe Yazılımların şu anda giriş-in kullanıcıya özel pencereler göstermeyerek çalmasını sağlayan konsol penceresini gizler.
  • Rss.txt Rust’ta yazılmış eski bir dosyayı içeren bir baz64 kodlanmış bir dosyadır. Eski tarih ve zaman alır ve Chromium tabanlı tarayıcılar şifreleme anahtarlarını şifreler. Tarih ve zaman, planlanan görevlerde kalıcılık kurmak için yazılımlar tarafından getirilir. Osipov tarafından belirtildiği gibi, eski PHP dosyaları obfuscat edilmedi, ancak yazılımların yeni versiyonları ticari araçlar ionCube ve Zephir kullanılarak kodlandı.

Yazılım yayınlandığında, C2 sunucularının bir listesini rastgele seçilmiş ve yazılımların her uygulanmasında kullanılan bir yapılandırma dizisi ayarlar. Yazılımlar ayrıca dosyaları ve komutları indirmek ve uygulamakta ve kendi kendini güncellemeye ek olarak.

SYS01 belirli verileri çalıyor

SYS01 Stealer, Chromium tabanlı tarayıcılardan tüm kurabiye ve bilgileri elde edebilir.

Yazılımlar kullanıcının bir Facebook hesabı olup olmadığını kontrol eder. Kullanıcı bu hesaba girişse, yazılım sorguları Facebook’un grafik uygulama programlama arayüzü bir token almak ve tüm kurbanın Facebook bilgilerini çalmak. Tüm çalınan bilgiler bir C2 sunucusuna silinir.

SYS01 yazılım tehdidinden nasıl korunulur

DLL sideloading, çünkü DLL arama siparişi Microsoft Windows’da uygulandı. Bazı geliştiriciler, yazılımlarını programlamak ve bu teknike özellikle savunmasız olmayan kod oluşturmak konusunda bu probleme sahiptir.

Ancak, Morphisec, çoğu programcıların gelişmekte olduğunda güvenliği olmadığını belirtti, bu nedenle şirketlerin bu teknike karşı daha fazla koruma sağlamaları gerekiyor:

  • Kullanıcıların ayrıcalıklarını ayarlayın, bu yüzden DLL yan yüklemesini kullanabilecek üçüncü taraf yazılımı yükleyemezler.

  • DLL sideloading için uyarı işaretleri izleyin. İmzalanmış eklenebilirler tarafından kullanılan DLL dosyaları, şüpheli yükleme yolları olarak da bu uyarıları yükseltmelidir.

  • Güvenlik araçlarını kullanmak gibi DLLSpy veya Windows Özellikler Hunter DLL sideloading tespit etmeye çalışın. Kaynaklar gibi Hijack. Libs Libs Ayrıca, DLL sideloading’e karşı çok sayıda uygulama listelediği için de yararlı olabilir.

  • İşletim sistemlerini ve tüm yazılımları, ortak bir kırılganlık tarafından uzlaşmaktan kaçınmak için tarih ve yatırın.

  • Tren çalışanları ortak sosyal mühendislik hilelerini tespit etmek ve internetten üçüncü taraf içeriğini indirme risklerinin farkında olmak, özellikle de yazılım yükleyicileri içeren korsan yazılımlar. Bir daha okuyun: Güvenlik farkındalığı ve eğitim politikası (Teknoloji Premium)

    Açıklama: Trend Micro için çalışıyorum, ancak bu makalede ifade edilen görüşler benim.

    image

    Cybersecurity Insider Newsletter

    Organizasyonunuzun BT güvenlik savunmalarını en son siber güvenlik haber, çözümleri ve en iyi uygulamaları tutarak güçlendirin.

    Salı ve Perşembe günleri teslim edildi Bugün kaydolun

© 2024 BilbyTech