SYS01 kradljivac podatka: Nova kampanja

SYS01, sofisticirana sajber prijetnja, identifikovana je kao značajna briga u digitalnom prostoru od strane sigurnosnih istraživača kompanije Bitdefender Labs, posebno je demografski usmjerena na starije muškarce. Ovaj zlonamjerni softver koristi složenu infrastrukturu napada koja uključuje više zlonamjernih domena koji funkcionišu kao lažne platforme za preuzimanje i koristi različite mehanizme distribucije da bi izbjegao otkrivanje.

SYS01 Infostealer

SYS01 kradljivac podatka: Nova kampanja; Source: Bing Image Creator

SYS01 KRADLJIVAC PODATKA

SYS01 kradljivac podatka je od ranije poznat po napadu na kritičnu infrastrukturu preko Facebook poslovnih naloga korištenjem Google oglasa i lažnih Facebook profila tokom 2023. godine i napadu na korisnike putem Facebook oglašavanja tokom ljeta 2024 godine. Prvi put je identifikovan 2022. godine od strane Morphisec tima sigurnosnih istraživača, ali je privukao značajnu pažnju kada je Trustwave SpiderLabs Threat Intelligence objavio detaljan izvještaj o zlonamjernom softveru.

 

Nova kampanja

SYS01 kampanja koristi različite taktike da inficira potencijalne žrtve na globalnom nivou. Ovaj zlonamjerni softver, koji se prvenstveno distribuira putem zlonamjernog oglašavanja (eng. malvertising), primijećen je u lažnom predstavljanju pouzdanih brendova u više industrija, kao što su softver za uređivanje videa (CapCut) ili fotografije (Adobe Photoshop, Canva), alati za produktivnost (Office 365), usluge za video reprodukovanje u realnom vremenu (Netflix), VPN servisi (Express VPN), pa čak i video igre (Super Mario Bros Wonder, Black Myth: Wukong). Na ovaj način zlonamjerni akteri povećavaju vjerovatnoću privlačenja široke publike, čineći ovu kampanju veoma efikasnom.

 

Funkcionisanje

Način funkcionisanja ove kampanje je jednostavan, ali podmukao: zlonamjerni oglasi, prerušeni u legitimne promocije, vode do MediaFire veze ili direktno nude softver za preuzimanje koji sadrži zlonamjerni softver. Ove datoteke se obično distribuiraju u .ZIP arhivama i sadrže Electron Js aplikaciju. Nakon raspakivanje arhive, ugrađeni JavaScript kôd unutar aplikacije se ispušta i pokreće zlonamjerni softver, radeći prikriveno u pozadini, dok mamac aplikacija koja oponaša reklamirani softver održava normalnu funkcionalnost.

Jednom pokrenut, zlonamjerni softver uspostavlja postojanost preko Windows Task Scheduler alata sa dva ključna zadatka: WDNA (izvršava se svaka dva minuta preko rhc.exe, php.exe, index.php) i WDNA_LG (pokreće se prilikom prijavljivanja korisnika). Zlonamjerni softver komunicira sa serverima za komandu i kontrolu (C2) koristeći HTTP pozive i koristi Telegram botove i Google stranice za dinamičko preuzimanje C2 domena.

Primarni cilj SYS01 zlonamjernog softvera je krađa osjetljivih podatka kao što su akreditivi za prijavu, finansijske informacije i lični identifikatori. Da bi ova operacija nastavila da radi, zlonamjerni akteri takođe otimaju Facebook poslovne naloge kako bi dalje širili svoj zlonamjerni softver. Ova taktika im omogućava da zaobiđu bezbjednosne mjere i efikasnije dopru do veće publike. Facebook poslovni nalozi se ili prodaju na mračnim internet tržištima ili primjenjuju da propagiraju zlonamjernije reklame.

 

Facebook poslovni nalozi

Kompromitujući Facebook poslovne naloge, zlonamjerni akteri mogu da kreiraju nove zlonamjerne oglase u velikim razmjerama bez izazivanja sumnje. Ovi oglasi izgledaju vjerodostojniji zbog njihove povezanosti sa legitimnim Facebook poslovnim nalozima, čime se zaobilaze uobičajeni sigurnosni filteri. Ovo omogućava da se napad dalje širi, dostižući sve više žrtava sa svakim novim talasom reklama.

Oteti Facebook nalozi služe kao osnova za povećavanje cijele operacije. Svaki kompromitovani nalog može biti prenamijenjen za promovisanje dodatnih zlonamjernih oglasa, povećavajući doseg kampanje bez potrebe da zlonamjerni akteri sami kreiraju nove Facebook naloge. Ovo je isplativ i vremenski efikasan način za dosljedno usmjeravanje saobraćaja ka zlonamjernim preuzimanjima. Biti u biznisu zlonamjernog oglašavanja nije samo isplativo – ono takođe omogućava zlonamjernim akterima da ostanu ispod radara i da se ne oslanjaju na tradicionalne ili očiglednije metode za kompromitovanje naloga, kao što su phishing kampanje elektronske pošte.

 

Uticaj

Obim ovog napada je zaista globalan, a potencijalne žrtve broje se u milionima u različitim regionima kao što su Evropa, Sjeverna Amerika, Australija i Azija, posebno muškarci od 45 i više godina. Iako kompanija Meta pruža neke podatke o uticaju oglasa u EU, ostaje ograničena transparentnost u pogledu toga kako ovi zlonamjerni oglasi utiču na korisnike izvan ovog regiona, posebno na one koji žive u Sjedinjenim Američkim Državama.

Jedna od ključnih taktika koju koriste zlonamjerni akteri iza SYS01 zlonamjernog softvera je njihova sposobnost da dinamički izbjegnu otkrivanje. Oni kontinuirano prilagođavaju i poboljšavaju svoje strategije skoro u realnom vremenu, modifikujući zlonamjerni korisni teret (eng. payload) čim antivirusne kompanije otkriju i blokiraju verziju softvera za ubacivanje (eng. dropper). Ova stalna evolucija osigurava da napad ostane korak ispred bezbjednosnih mjera, što otežava tradicionalnim metodama da se efikasno suprotstave ovoj prijetnji.

 

ZAKLJUČAK

Globalna zlonamjerna kampanja zlonamjernog softvera SYS01 predstavlja značajnu prijetnju korisnicima širom sveta zbog svoje sofisticirane taktike i širokog uticaja. Oponašajući popularne brendove, koristeći dinamičke tehnike izbjegavanja i iskorištavajući kompromitovane Facebook poslovne naloge za masovnu distribuciju oglasa, ovaj zlonamjerni softver se pokazao veoma efikasnim u širenju širom digitalnog prostora.

Posljedice infekcije SYS01 zlonamjernog softvera su dalekosežne i potencijalno razorne. Dobijanjem pristupa osjetljivim informacijama uskladištenim u pretraživačima i nalozima društvenih medija kao što je Facebook, zlonamjerni akteri mogu imati značajnu kontrolu nad digitalnim životom pogođene osobe. To bi moglo da varira od krađe identiteta i finansijske prevare do podmuklijih oblika manipulacije i ucjene.

Zbog svega navedenog, imperativ je da korisnici ostanu informisani i proaktivni u zaštiti svojih digitalnih sredstava. Budnost i pridržavanje najboljih praksi mogu pomoći u ublažavanju rizika koje predstavljaju zlonamjerne kampanje kao što je kampanja SYS01 kradljivca podataka. Razumijevanjem načina na koji ove prijetnje funkcionišu i preduzimanjem odgovarajućih mjera u cilju zaštite, korisnici mogu da smanje izloženost zlonamjernim akterima i mogu da zadrže bezbjedno digitalno prisustvo u svetu koji je sve povezaniji.

 

ZAŠTITA

Kako bi se ojačala digitalna odabrana od ove napredne i dinamički razvijene prijetnje u kampanji zlonamjernog oglašavanja poznate kao SYS01 kradljivac podataka, u nastavku slijede preporuke koje sadrže osnovne mjere zaštite korisnika tokom njihovog prisustva u digitalnom prostoru:

  1. Potrebno je izbjegavati klikove na oglase koji nude besplatna preuzimanja, posebno ako se pojavljuju na Meta platformama kao što su Facebook i Instagram. Uvijek provjeriti izvor pre preuzimanja bilo kog softvera,
  2. Preuzimajte aplikacije samo iz pouzdanih izvora kao što su zvanične prodavnice aplikacija ili provjerene internet lokacije programera da bi se smanjio rizik od infekcije zlonamjernim softverom,
  3. Redovno ažurirati operativni sistem, internet pregledač i drugi softver da bi se osiguralo da se koriste najnovije bezbjednosne ispravke koje štite od poznatih ranjivosti koje koristi,
  4. Kreirati složene lozinke za sve naloge na mreži koristeći kombinaciju velikih slova, malih slova, brojeva i specijalnih znakova. Razmisliti o korištenju menadžera lozinki da bi se bezbjedno čuvali akreditivi,
  5. Aktivirati autentifikaciju u dva koraka (eng. Two-Factor Authentication – 2FA) na bilo kom nalogu koji je nudi kao dodatni nivo bezbjednosti. Ovo će zahtjevati od zlonamjernog aktera ne samo da ima korisničke podatke za prijavu, već i pristup uređaju ili kôdu za autentifikaciju koji se šalje putem elektronske pošte, tekstualne poruke ili aplikacije za autentifikaciju,
  6. Paziti na lažno predstavljanje primjenjujući oprez kada se stupa u interakciju sa oglasima i sadržajem koji oponašaju popularne brendove, jer oni mogu biti dio zlonamjerne kampanje kao što je SYS01,
  7. Koristiti pouzdan antivirusni softver da bi se redovno skenirali uređaji u potrazi za potencijalnim prijetnjama, uključujući zlonamjerni softver SYS01. Ažurirati bezbjednosni softver da bi se osiguralo da može da otkrije i ukloni najnovije varijante ovog zlonamjernog softvera,
  8. Potrebno je biti informisan o aktuelnim trendovima u sajber bezbjednosti i prijetnjama kao što je SYS01 kradljivac podatka čitajući članke iz renomiranih izvora i učestvujući na internet forumima posvećenim računarskoj bezbjednosti,
  9. Redovno pregledati aktivnosti naloga, uključujući pokušaje prijavljivanja, promjene lozinke i sve sumnjive transakcije ili obavještenja. Ako se primijeti nešto neobično, odmah preduzimati mjere za zaštitu svojih naloga,
  10. Korisnici koji slučajno otkriju potencijalnu kampanju zlonamjernog oglašavanja ili sumnjaju da je uređaj inficiran zlonamjernim softverom SYS01, trebalo bi da prijave incident administratorima platforme ili potražite pomoć od stručnjaka za sajber bezbjednost ako je potrebno.

Prateći ove preporuke korisnici mogu značajno smanjiti rizik da postanu žrtva zlonamjernog softvera SYS01 ili drugih zlonamjernih prijetnji koje vrebaju u digitalnom prostoru.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.