SYS01stealer: новая угроза, использующая поддельную рекламу в Facebook*

Исследователи кибербезопасности обнаружили новый похититель данных под названием SYS01stealer. Вредонос нацелен на сотрудников критической государственной инфраструктуры, производственных компаний и других секторов.

«Угрозы, стоящие за этой кампанией, нацелены на бизнес-аккаунты Facebook. Они используют Google Ads и поддельные профили Facebook, которые рекламируют игры, контент для взрослых, взломанное программное обеспечение и т.д., чтобы заманить жертв к загрузке вредоносного файла. Атаки направлены на кражу конфиденциальной информации, включая данные для входа в систему, cookie-файлы и информацию о бизнес-аккаунтах», — говорится в отчёте компании Morphisec .

Представители Morphisec заявили, что вредоносная кампания изначально была связана с финансово мотивированной киберпреступной операцией, которую исследователи Zscaler назвали «Ducktail». Однако компания WithSecure , которая впервые задокументировала кластер активности Ducktail в июле 2022 года, заявила, что вредоносные кампании отличаются друг от друга. Эта путаница указывает на то, как злоумышленникам удалось сбить с толку экспертов кибербезопасности и избежать обнаружения.

Цепочка атак, согласно Morphisec, начинается тогда, когда жертва переходит по ссылке из поддельного профиля Facebook или рекламы Google Ads, чтобы загрузить ZIP-архив, замаскированный под взломанное программное обеспечение или контент для взрослых.

Открытие ZIP-файла запускает загрузчик на основе легитимного приложения C#, которое уязвимо для DLL Sideloading, что позволяет загрузить вредоносный DLL-файл вместе с приложением.

Схема доставки SYS01stealer

Некоторыми приложениями, используемыми для загрузки мошеннической DLL, являются WDSyncService.exe от Western Digital и ElevatedInstaller.exe от Garmin. В некоторых случаях загруженная неопубликованная DLL-библиотека действует как средство для развертывания промежуточных исполняемых файлов на основе Python и Rust. Независимо от используемого подхода, все пути ведут к доставке установщика, который доставляет и запускает вредоносное ПО SYS01stealer на основе PHP.

Инфостилер разработан для сбора cookie-файлов Facebook из веб-браузеров на основе Chromium, эксфильтрации информации Facebook жертвы на удаленный сервер, а также загрузки и запуска произвольных файлов. Вредонос также может загружать файлы с зараженного хоста на C2-сервер , выполнять его команды и обновлять себя при наличии свежей версии.

«DLL Sideloading — это очень эффективный способ заставить системы Windows загружать вредоносный код. Когда приложение загружается в память, оно скачивает вредоносный файл вместо легитимного, позволяя злоумышленникам захватывать законные, надежные и даже подписанные приложения в своих зловредных целях», — сообщили специалисты Morphisec.

* Компания Meta и её продукты (Instagram и Facebook) признаны экстремистскими, их деятельность запрещена на территории РФ.