Вредонос, основанный на PHP, доставляется в систему жертвы методом DLL Sideloading.
Исследователи кибербезопасности обнаружили новый похититель данных под названием SYS01stealer. Вредонос нацелен на сотрудников критической государственной инфраструктуры, производственных компаний и других секторов.
«Угрозы, стоящие за этой кампанией, нацелены на бизнес-аккаунты Facebook. Они используют Google Ads и поддельные профили Facebook, которые рекламируют игры, контент для взрослых, взломанное программное обеспечение и т.д., чтобы заманить жертв к загрузке вредоносного файла. Атаки направлены на кражу конфиденциальной информации, включая данные для входа в систему, cookie-файлы и информацию о бизнес-аккаунтах», — говорится в отчёте компании Morphisec.
Представители Morphisec заявили, что вредоносная кампания изначально была связана с финансово мотивированной киберпреступной операцией, которую исследователи Zscaler назвали «Ducktail». Однако компания WithSecure, которая впервые задокументировала кластер активности Ducktail в июле 2022 года, заявила, что вредоносные кампании отличаются друг от друга. Эта путаница указывает на то, как злоумышленникам удалось сбить с толку экспертов кибербезопасности и избежать обнаружения.
Цепочка атак, согласно Morphisec, начинается тогда, когда жертва переходит по ссылке из поддельного профиля Facebook или рекламы Google Ads, чтобы загрузить ZIP-архив, замаскированный под взломанное программное обеспечение или контент для взрослых.
Открытие ZIP-файла запускает загрузчик на основе легитимного приложения C#, которое уязвимо для DLL Sideloading, что позволяет загрузить вредоносный DLL-файл вместе с приложением.
Схема доставки SYS01stealer
Некоторыми приложениями, используемыми для загрузки мошеннической DLL, являются WDSyncService.exe от Western Digital и ElevatedInstaller.exe от Garmin. В некоторых случаях загруженная неопубликованная DLL-библиотека действует как средство для развертывания промежуточных исполняемых файлов на основе Python и Rust. Независимо от используемого подхода, все пути ведут к доставке установщика, который доставляет и запускает вредоносное ПО SYS01stealer на основе PHP.
Инфостилер разработан для сбора cookie-файлов Facebook из веб-браузеров на основе Chromium, эксфильтрации информации Facebook жертвы на удаленный сервер, а также загрузки и запуска произвольных файлов. Вредонос также может загружать файлы с зараженного хоста на C2-сервер, выполнять его команды и обновлять себя при наличии свежей версии.
«DLL Sideloading — это очень эффективный способ заставить системы Windows загружать вредоносный код. Когда приложение загружается в память, оно скачивает вредоносный файл вместо легитимного, позволяя злоумышленникам захватывать законные, надежные и даже подписанные приложения в своих зловредных целях», — сообщили специалисты Morphisec.
* Компания Meta и её продукты (Instagram и Facebook) признаны экстремистскими, их деятельность запрещена на территории РФ.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале