SYS01 zlonamjerni softver cilja kritičnu infrastrukturu

AUTOR ·

SYS01 zlonamjerni softver cilja kritičnu infrastrukturu preko Facebook poslovnih naloga korištenjem Google oglasa i lažnih Facebook profila koji reklamiraju stvari poput igrica, sadržaja za odrasle, piratskog softvera i slično, kako bi namamio žrtve da preuzmu zlonamjerne datoteke.

SYS01

SYS01 zlonamjerni softver cilja kritičnu infrastrukturu; Dizajn: Saša Đurić

Zlonamjerna kampanja

Sigurnosni istraživači kompanije Morphisec koji su prate ovaj zlonamjerni softver od novembra 2022. godine, smatraju da je napad osmišljen za krađu osjetljivih informacija, uključujući podatke za prijavu, kolačiće i informacija o ličnom i poslovnom Facebook računu.

Ova vrsta napada je prvi put viđena u maju 2022. godine kada identifikovana i pripisana Ducktail kradljivcu podataka, što se kasnije pokazalo da nije tačno. Sada novo istraživanje pokazuje da je ova zlonamjerna kampanja još uvijek aktivna i da je razvoj zlonamjernog softvera u toku, što naglašava kako zlonamjerni akteri razvijaju svoje alate i fokusiraju se na određene ciljeve tokom vremena. To može biti veoma izazovno za sigurnosne istraživače, jer se određene akcije ne mogu čvrsto pripisati određenim zlonamjernim grupama kada su i zlonamjerni softver i grupe koje ga koriste u stalnom razvoju i promjenama.

 

Korištenje Facebook reklama

Napad počinje tako što se lažni Facebook profil ili reklama koristi kao mamac kako bi se žrtva namamila da klikne na Internet link. Klikom na ovaj Internet link, napadači tjeraju žrtvu da preuzme ZIP datoteku koja sadrži sljedeće stvari:

  • Softver
  • Igricu
  • Filim ili seriju

Unutra su sakrivene dvije komponente:

  • Program za učitavanje
  • Inno-Setup instalaciona alatka

 

Infekcija uređaja

Kada se ZIP datoteka otvori, pokreće se program za učitavanje, koji je često u obliku legitimne C# aplikacije, koja je ranjiva na bočno DLL učitavanje, tehniku koja se koristi za učitavanje zlonamjerne DLL datoteke kada se pokrene legitimna aplikacija.

Istraživači su primijetili da zlonamjerni akteri koriste Western Digital WDSyncService.exe i Garmin ElevatedInstaller.exe, dva legitimna programa, kako bi sa strane učitali zlonamjerni sadržaj.

SYS01 Infection chain

SYS01 infection chain; Source: Morphisec

Zloupotreba pristupa

Kada konačno dođe do infekcije, zlonamjerni softver SYS01 baziran na PHP-u može ukrasti kolačiće pretraživača i zloupotrebiti verifikovane Facebook sesije kako bi pristupio nalogu žrtve i ukrao informacije. Svrha je da se stekne kontrola nad Facebook poslovnim nalozima žrtava.

Zlonamjerni softver ima mogućnost skeniranja uređaja, kojim traga za za uobičajenim Internet pregledačima, kao što su Google Chrome, Microsoft Edge, Brave Browser i Firefox, kako bi prikupio kolačiće Facebook sesije od žrtava. U drugom koraku, koristi mogućnost izvlačenja svih sačuvanih kolačića (eng. cookies), uključujući sve kolačiće Facebook sesija, iz svakog pretraživača koji pronađe.

Tu nije kraj, jer ovaj zlonamjerni softver također prikuplja informacije sa ličnog Facebook naloga žrtve, kao što su ime žrtve, adresa elektronske pošte, datum rođenja i korisnički ID, kao i dodatne informacije kao što su 2FA kodovi, IP adresa i geolokacija, a to se sve prosljeđuje komandnom serveru.

Dodatna opasnost od ovog zlonamjernog softvera se ogleda i u tome što može izvršavati naredbe dobijene od komandnog servera, kao postojanje mehanizma koji mu omogućava da se po potrebi ažurira.

 

Zaštita

Korisnicima se preporučuje implementacija politike nultog povjerenja (eng. Zero-trust policy) i ograničavanje mogućnosti korisnika da preuzimaju i instaliraju softver. Kako napad dolazi putem društvenih medija, korištenjem socijalnog inžinjeringa, veoma je važno edukacija korisnika o tehnikama koje zlonamjerni akteri koriste u svojim napadima kako bi ih mogli prepoznati.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.