SYS01 zlonamjerno Facebook oglašavanje
Zlonamjerni softver SYS01 je sofisticirani kradljivac informacija koji prvenstveno cilja korisnike putem Facebook oglašavanja. Ovaj prikriveni zlonamjerni softver koristi različite taktike da dobije početni pristup, izvrši svoj teret i izbjegne otkrivanje dok eksfiltrira osjetljive informacije sa uređaja pogođenih korisnika.
ZLONAMJERNI SOFTVER SYS01
SYS01 je sofisticirani tip zlonamjernog softvera poznat u zajednici sajber bezbjednosti kao kradljivac informacija. Kradljivci informacija su vrste zlonamjernog softvera koji se fokusiraju na krađu osjetljivih informacija iz kompromitovanih sistema, prvenstveno ciljajući internet pregledače i njihove uskladištene podatke kao što su kolačići, istorija i sačuvani akreditivi. SYS01 je prvi put identifikovan 2022. godine od strane Morphisec tima sigurnosnih istraživača, ali je privukao značajnu pažnju kada je Trustwave SpiderLabs Threat Intelligence objavio detaljan izvještaj o zlonamjernom softveru.
Zlonamjerna kampanja oglašavanja
Zlonamjerna kampanja oglašavanja je fokusirana na Facebook poslovne naloge, koji su atraktivne mete za napadače koji žele dalje da šire svoj zlonamjerni softver. Sa približno 2,9 milijardi aktivnih korisnika mjesečno i oko 200 miliona poslovnih naloga, potencijalni domet ovih napada je ogroman. Ukrštanje između ličnih i poslovnih uređaja takođe znači da bi svi akreditivi ukradeni preko Facebook platforme potencijalno mogli da se koriste za dobijanje početnog pristupa mreži i krajnjim tačkama žrtve.
Sigurnosni istraživači opisuje kako zlonamjerni akteri pokreću hiljade oglasa po kampanji za SYS01 zlonamjerni softver. Neke istaknute kampanje uključuju blue-softs (8.100 oglasa), xtaskbar–themes (4.300 oglasa), newtaskbar–themes (2.200 oglasa) i awesome–themes–desktop (1.100 oglasa). Korisnici koji kliknu na ove oglase preusmjeravaju se na lažne stranice za preuzimanje koje se nalaze na Google Sites ili True Hosting platformama. Ove internet stranice promovišu naizgled legitiman softver pod nazivom Blue–Software koji nudi besplatan softver i preuzimanje igara.
Međutim, umjesto obećanog softvera, korisnici dobijaju SYS01 zlonamjerni softver prerušen u ZIP arhivu sa bezazlenim imenom kao što je “Awesome_Themes_for_Win_10_11.zip” ili “Adobe_Photoshop_2023.zip”. Ova obmanjujuća taktika imenovanja je dizajnirana da prevari korisnike da nesvjesno preuzmu zlonamjerni softver, omogućavajući mu da se infiltrira u njihove sisteme i započne svoje aktivnosti krađe podataka.
Sigurnosni istraživači su primijetili da se SYS01 zlonamjerne kampanje šire i izvan Facebook platforme na platforme kao što su LinkedIn i YouTube, pokazujući širok obim i postojanost ovih napada koristeći sadržaje kao što su Windows teme i softverski alati zasnovani na vještačkoj inteligenciji.
Funkcionisanje
Jednom kada korisnik nesvjesno preuzme ZIP arhivu, izložen je SYS01 zlonamjernom teretu. Arhiva sadrži zlonamjerni softver kradljivca podataka prerušen u legitiman softver ili instalaciju igara. Kada korisnici pokušaju da izvuku i pokrenu ove datoteke, njihovi sistemi se inficiraju sa SYS01.
Nakon izvršenja, SYS01 zlonamjerni softver koristi različite tehnike za instaliranje i rad na zaraženom sistemu. Za svoje zlonamjerne aktivnosti koristi izvršne datoteke, DLL datoteke, PowerShell skripte i PHP skripte. Primarni teret uključuje PHP skripte koje kreiraju zakazane zadatke za postojanost i kradu osjetljive podatke kao što su kolačići iz internet pregledača, sačuvani akreditivi, istorija pregledanja i novčanici kriptovaluta. Štaviše, zlonamjerni softver koristi Facebook kolačiće za krađu informacija o nalogu, uključujući lične profile, podatke o reklamnom nalogu, poslovne detalje i informacije o upravljanju stranicama.
ZAKLJUČAK
Zlonamjerni softver SYS01 je stalna prijetnja koja cilja korisnike Facebook platforme od septembra 2023. godine. Širi se prvenstveno putem Facebook reklamnih kampanja i koristi različite tehnike kako bi izbjegao otkrivanje i ukrao osjetljive informacije sa zaraženih uređaja. Primijećeno je i širenje preko platformi kao što su LinkedIn i YouTube, pokazujući širok obim i postojanost ovih napada. Potencijalni uticaj ovog zlonamjernog softvera na pogođene pojedince i organizacije može biti značajan, jer napadačima pruža uporište u korisničkim mrežama ili krajnjim uređajima.
Ono što SYS01 čini posebno opasnim je njegova eksploatacija Facebook kolačića za krađu informacija o nalogu, uključujući lične profile, detalje naloga za oglašavanje, poslovne informacije i informacije o upravljanju stranicama. Ovi ukradeni podaci se mogu koristiti u razne zlonamjerne svrhe kao što su krađa identiteta ili dalje širenje zlonamjernog softvera preko otetih naloga.
Kako zlonamjerni akteri nastavljaju da pronalaze nove načine da iskoriste platforme društvenih medija kao što je Facebook, neophodno je da korisnici ostanu oprezni i slede najbolje prakse za bezbjednost na mreži. Ovo uključuje izbjegavanje klikanja na sumnjive veze, preuzimanje softvera samo iz pouzdanih izvora, korištenje jakih lozinki, omogućavanje autentifikacije u više koraka i održavanje softvera ažurnim.
ZAŠTITA
Za efikasnu zaštitu od SYS01 zlonamjernog softvera i smanjenje rizika od infekcije, ključno je usvojiti višeslojni pristup koji uključuje i preventivne mjere i radnje. Evo nekoliko preporučenih koraka koji će pomoći u zaštiti korisničkih sistema:
- Potrebno je biti informisani o najnovijim prijetnjama u sajber bezbjednosti redovno prateći bezbjednosne vesti i ažuriranja iz pouzdanih izvora. Obrazovati korisnike i bezbjednosni tim o tome kako da identifikujete phishing elektronsku poštu, sumnjive veze i neprovjerena preuzimanja koja potencijalno mogu da dovedu do infekcije SYS01. Biti oprezan prilikom klikova na oglase ili prilikom posjeta nepoznatih internet lokacija koje nude besplatan softver, preuzimanje igara ili drugi sadržaj,
- Koristiti jake, jedinstvene lozinke za sve korisničke naloge, uključujući platforme društvenih medija kao što je Facebook, LinkedIn i YouTube. Razmisliti o korišćenju uglednog menadžera lozinki za bezbjedno generisanje i skladištenje složenih lozinki. Redovno ažurirati lozinke i omogućite autentifikaciju u dva koraka (eng. two-factor authentication – 2FA) kad god je to moguće,
- Uvjeriti se da je sav softver na uređajima, uključujući internet pregledače, operativne sisteme i antivirusna rješenja, ažuriran sa najnovijim bezbjednosnim ispravkama, ažuriranjima i definicijama. Zastareli softver može ostaviti ranjivosti koje može da iskoristi zlonamjerni softver kao što je SYS01,
- Instalirati i konfigurisati renomirano antivirusno rješenje na svim korisničkim uređajima koje nudi zaštitu u realnom vremenu od poznatih prijetnji, uključujući SYS01 zlonamjerni softver. Redovno ažurirati softver kako bi se osiguralo da može da otkrije i ukloni sve nove prijetnje,
- Konfigurisati bezbjednosna podešavanja internet pregledača da blokira potencijalno štetne internet lokacije i preuzimanja. Koristite renomiranu uslugu zaštite interneta koja nudi funkcije kao što su filtriranje URL adresa, blokiranje internet stranica za krađu identiteta i otkrivanje zlonamjernog softvera,
- Biti oprezan sa prilozima elektronske pošte i ne otvarajte priloge elektronske pošte iz nepoznatih ili sumnjivih izvora. Zlonamjerna elektronska pošta se često koristi kao vektor za širenje kradljivaca informacija poput SYS01. U slučaju neočekivanog priloga elektronske pošte, provjeriti njegovu autentičnost kod pošiljaoca pre nego što se otvori,
- Koristite virtualnu privatnu mrežu (VPN) kada se pristupa javnim Wi-Fi mrežama ili pretražuje internet sa nepouzdanih lokacija. VPN usluga šifruje internet vezu i štiti od potencijalnih napada čovjeka u sredini. Ovo može da spriječi napadače da presretnu podatke tokom prenosa,
- Redovno praviti rezervne kopije svih važnih podataka na uređajima koristeći spoljni čvrsti disk ili rješenje za skladištenje u oblaku. U slučaju infekcije SYS01, nedavna rezervna kopija će omogućiti da se brzo vate svi podaci bez gubitka dragocjenih informacija,
- Ograničiti pristup osjetljivim podacima i sistemima primjenom jakih kontrola pristupa, kao što je autentifikacija u više koraka (eng. multi-factor authentication – MFA) ili kontrola pristupa zasnovana na ulozi (eng. role-based access control – RBAC). Ovo može da spriječi da neovlašteni korisnici dobiju pristup podacima u slučaju infekcije SYS01 zlonamjernog softvera,
- Redovno nadgledati naloge društvenih mreža i druge naloge na mreži za bilo kakve sumnjive aktivnosti, kao što su neprepoznati pokušaji prijavljivanja ili promjene podešavanja naloga. Ako se primijeti nešto neobično, odmah promijeniti lozinku i kontaktirati tim za podršku platforme za pomoć.
Prateći ove korake, korisnici mogu značajno smanjiti rizik od SYS01 infekcija na uređajima i zaštititi se od potencijalne krađe podataka i drugih sajber prijetnji. Važno je zapamtiti da nijedno rješenje nije sigurno, tako da je od suštinskog značaja da se usvoji višeslojni pristup bezbjednosti koji pokriva sve aspekte digitalnog okruženja.