SYS01 スティーラー

Malware, Stealers年Mezoまで

翻訳内容：

サイバーセキュリティの研究者は、重要な政府インフラストラクチャの従業員の Facebook アカウントを特に標的とする、新しい情報を盗むマルウェアを発見しました。 Sys01 Stealer という名前のこのマルウェアは、アダルトコンテンツ、ゲーム、クラックソフトウェアを宣伝する Google 広告や偽の Facebook アカウントを通じて配布されています。ダウンロードが完了すると、マルウェアは、マルウェアがセキュリティソフトウェアによる検出を回避できるようにする手法である DLL サイドローディングを通じて、被害者のコンピュータ上で実行されます。感染チェーンと脅威の悪意のある機能に関する詳細は、セキュリティの専門家によるレポートで発表されました。

Sys01 Stealer が使用する配布および実行手法は、「 S1deload Stealer . S1deload Stealer は、Facebook と YouTube のアカウントも標的にしてデータを収集しました。脅威は機密情報を盗むように特別に設計されており、特定のセキュリティ対策を回避できるため、これらのタイプのマルウェアによってもたらされる危険性は重大です。

SYS01 Stealer は、政府部門を含む多数の業界を標的にしています

Sys01 Stealer は、2022 年 11 月以降、政府や製造業を含むさまざまな業界の従業員を標的としているマルウェアです。このマルウェアの主な目的は、ログイン資格情報、Cookie、Facebook 広告、ビジネスアカウントデータなどの機密情報を被害者から盗み出すことです。

攻撃者は、広告の使用や偽の Facebook アカウントの作成など、さまざまな戦術を使って被害者をおびき寄せます。これらの広告または偽のアカウントには、映画、ゲーム、またはアプリケーションを含むと宣伝されている ZIP アーカイブにつながる URL が含まれています。

ZIP アーカイブには、DLL のサイドローディングに脆弱性がある正当なアプリケーションであるローダーと、サイドローディングされる危険なライブラリが含まれています。このライブラリは、最終的なペイロードを PHP アプリケーションの形式でインストールする Inno-Setup インストーラーをドロップします。このアプリケーションには、データの収集と抽出に使用される侵害されたスクリプトが含まれています。

攻撃者はいくつかのプログラミング言語とエンコーダーを使用して、SYS01 Stealer の検出を困難にしました

SYS01 Stealer は、PHP スクリプトを使用して、感染したシステムにスケジュールされたタスクを設定することで持続性を実現します。情報窃取機能を実行するメインスクリプトには、被害者が Facebook アカウントを持っていて、ログインしているかどうかを確認する機能など、複数の機能があります。このスクリプトは、指定された URL からファイルをダウンロードして実行したり、指定した URL にファイルをアップロードしたりすることもできます。コマンドアンドコントロールサーバー、およびコマンドの実行。

分析によると、情報スティーラーは Rust、Python、PHP、PHP の高度なエンコーダーなど、いくつかのプログラミング言語を使用して検出を回避しています。

Sys01 Stealer のような脅威による感染を防ぐために、ゼロトラストポリシーを実装し、ユーザーがプログラムをダウンロードしてインストールする権利を制限することを強くお勧めします。 Sys01 Stealer はソーシャルエンジニアリング戦術に依存しているため、攻撃者がそれらを検出して回避するために使用する手法について、ユーザーを教育する必要があります。