{"id":4444,"date":"2023-03-11T17:28:29","date_gmt":"2023-03-11T16:28:29","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=4444"},"modified":"2023-03-11T17:28:29","modified_gmt":"2023-03-11T16:28:29","slug":"sys01-zlonamjerni-softver-cilja-kriticnu-infrastrukturu","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2023\/03\/11\/sys01-zlonamjerni-softver-cilja-kriticnu-infrastrukturu\/","title":{"rendered":"SYS01 zlonamjerni softver cilja kriti\u010dnu infrastrukturu"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\"><em>SYS01<\/em> <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni softver<\/a> cilja kriti\u010dnu infrastrukturu preko <em>Facebook<\/em> poslovnih naloga kori\u0161tenjem <em>Google<\/em> oglasa i la\u017enih <em>Facebook<\/em> profila koji reklamiraju stvari poput igrica, sadr\u017eaja za odrasle, piratskog softvera i sli\u010dno, kako bi namamio \u017ertve da preuzmu zlonamjerne datoteke.<\/span><\/p>\n<div id=\"attachment_4448\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-4448\" class=\"size-full wp-image-4448\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/03\/SYS01.jpg\" alt=\"SYS01\" width=\"1024\" height=\"645\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/03\/SYS01.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/03\/SYS01-300x189.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/03\/SYS01-768x484.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/03\/SYS01-18x12.jpg 18w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-4448\" class=\"wp-caption-text\"><em>SYS01 zlonamjerni softver cilja kriti\u010dnu infrastrukturu; Dizajn: Sa\u0161a \u0110uri\u0107<\/em><\/p><\/div>\n<h2><span style=\"font-size: 14pt;\"><strong>Zlonamjerna kampanja<\/strong><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Sigurnosni istra\u017eiva\u010di kompanije <em>Morphisec<\/em> koji su <a href=\"https:\/\/blog.morphisec.com\/sys01stealer-facebook-info-stealer\" target=\"_blank\" rel=\"noopener\">prate ovaj zlonamjerni softver<\/a> od novembra 2022. godine, smatraju da je napad osmi\u0161ljen za kra\u0111u osjetljivih informacija, uklju\u010duju\u0107i podatke za prijavu, kola\u010di\u0107e i informacija o li\u010dnom i poslovnom <em>Facebook<\/em> ra\u010dunu.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Ova vrsta napada je prvi put vi\u0111ena u maju 2022. godine kada identifikovana i pripisana <em>Ducktail<\/em> kradljivcu podataka, \u0161to se kasnije pokazalo da nije ta\u010dno. Sada novo istra\u017eivanje pokazuje da je ova zlonamjerna kampanja jo\u0161 uvijek aktivna i da je razvoj zlonamjernog softvera u toku, \u0161to nagla\u0161ava kako zlonamjerni akteri razvijaju svoje alate i fokusiraju se na odre\u0111ene ciljeve tokom vremena. To mo\u017ee biti veoma izazovno za sigurnosne istra\u017eiva\u010de, jer se odre\u0111ene akcije ne mogu \u010dvrsto pripisati odre\u0111enim zlonamjernim grupama kada su i zlonamjerni softver i grupe koje ga koriste u stalnom razvoju i promjenama.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span style=\"font-size: 14pt;\"><strong>Kori\u0161tenje <em>Facebook<\/em> reklama<\/strong><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Napad po\u010dinje tako \u0161to se la\u017eni <em>Facebook<\/em> profil ili reklama koristi kao mamac kako bi se \u017ertva namamila da klikne na Internet link. Klikom na ovaj Internet link, napada\u010di tjeraju \u017ertvu da preuzme <em>ZIP<\/em> datoteku koja sadr\u017ei sljede\u0107e stvari:<\/span><\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\">Softver<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Igricu<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Filim ili seriju<\/span><\/li>\n<\/ul>\n<p><span style=\"font-size: 14pt;\">Unutra su sakrivene dvije komponente:<\/span><\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\">Program za u\u010ditavanje<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>Inno-Setup<\/em> instalaciona alatka<\/span><\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<h4><span style=\"font-size: 14pt;\"><strong>Infekcija ure\u0111aja<\/strong><\/span><\/h4>\n<p><span style=\"font-size: 14pt;\">Kada se<em> ZIP <\/em>datoteka otvori, pokre\u0107e se program za u\u010ditavanje, koji je \u010desto u obliku legitimne <em>C#<\/em> aplikacije, koja je ranjiva na bo\u010dno<em> DLL<\/em> u\u010ditavanje, tehniku koja se koristi za u\u010ditavanje zlonamjerne <em>DLL <\/em>datoteke kada se pokrene legitimna aplikacija.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Istra\u017eiva\u010di su primijetili da zlonamjerni akteri koriste <em>Western Digital WDSyncService.exe<\/em> i <em>Garmin ElevatedInstaller.exe<\/em>, dva legitimna programa, kako bi sa strane u\u010ditali zlonamjerni sadr\u017eaj.<\/span><\/p>\n<div id=\"attachment_4449\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-4449\" class=\"wp-image-4449 size-full\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/03\/Infection-chain-.webp\" alt=\"SYS01 Infection chain\" width=\"1024\" height=\"665\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/03\/Infection-chain-.webp 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/03\/Infection-chain--300x195.webp 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/03\/Infection-chain--768x499.webp 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/03\/Infection-chain--18x12.webp 18w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-4449\" class=\"wp-caption-text\"><em>SYS01 infection chain; Source: <a href=\"https:\/\/blog.morphisec.com\/sys01stealer-facebook-info-stealer\" target=\"_blank\" rel=\"noopener\">Morphisec<\/a><\/em><\/p><\/div>\n<h5><span style=\"font-size: 14pt;\"><strong>Zloupotreba pristupa<\/strong><\/span><\/h5>\n<p><span style=\"font-size: 14pt;\">Kada kona\u010dno do\u0111e do infekcije, zlonamjerni softver <em>SYS01<\/em> baziran na <em>PHP<\/em>-u mo\u017ee ukrasti kola\u010di\u0107e pretra\u017eiva\u010da i zloupotrebiti verifikovane <em>Facebook<\/em> sesije kako bi pristupio nalogu \u017ertve i ukrao informacije. Svrha je da se stekne kontrola nad <em>Facebook<\/em> poslovnim nalozima \u017ertava.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Zlonamjerni softver ima mogu\u0107nost skeniranja ure\u0111aja, kojim traga za za uobi\u010dajenim Internet pregleda\u010dima, kao \u0161to su <em>Google Chrome<\/em>, <em>Microsoft Edge<\/em>, <em>Brave Browser<\/em> i <em>Firefox<\/em>, kako bi prikupio kola\u010di\u0107e <em>Facebook<\/em> sesije od \u017ertava. U drugom koraku, koristi mogu\u0107nost izvla\u010denja svih sa\u010duvanih kola\u010di\u0107a (eng. <em>cookies<\/em>), uklju\u010duju\u0107i sve kola\u010di\u0107e <em>Facebook<\/em> sesija, iz svakog pretra\u017eiva\u010da koji prona\u0111e.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Tu nije kraj, jer ovaj zlonamjerni softver tako\u0111er prikuplja informacije sa li\u010dnog <em>Facebook<\/em> naloga \u017ertve, kao \u0161to su ime \u017ertve, adresa elektronske po\u0161te, datum ro\u0111enja i korisni\u010dki <em>ID<\/em>, kao i dodatne informacije kao \u0161to su <em>2FA<\/em> kodovi, <em>IP<\/em> adresa i geolokacija, a to se sve proslje\u0111uje komandnom serveru.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Dodatna opasnost od ovog zlonamjernog softvera se ogleda i u tome \u0161to mo\u017ee izvr\u0161avati naredbe dobijene od komandnog servera, kao postojanje mehanizma koji mu omogu\u0107ava da se po potrebi a\u017eurira.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h5><span style=\"font-size: 14pt;\"><strong>Za\u0161tita<\/strong><\/span><\/h5>\n<p><span style=\"font-size: 14pt;\">Korisnicima se preporu\u010duje implementacija politike nultog povjerenja (eng. <em>Zero-trust policy<\/em>) i ograni\u010davanje mogu\u0107nosti korisnika da preuzimaju i instaliraju softver. Kako napad dolazi putem <a href=\"https:\/\/sajberinfo.com\/en\/2023\/01\/15\/drustveni-mediji-uvod-epizoda-1\/\" target=\"_blank\" rel=\"noopener\">dru\u0161tvenih medija<\/a>, kori\u0161tenjem socijalnog in\u017einjeringa, veoma je va\u017eno edukacija korisnika o tehnikama koje zlonamjerni akteri koriste u svojim napadima kako bi ih mogli prepoznati.<\/span><\/p>","protected":false},"excerpt":{"rendered":"<p>SYS01 zlonamjerni softver cilja kriti\u010dnu infrastrukturu preko Facebook poslovnih naloga kori\u0161tenjem Google oglasa i la\u017enih Facebook profila koji reklamiraju stvari poput igrica, sadr\u017eaja za odrasle, piratskog softvera i sli\u010dno, kako bi namamio \u017ertve da&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":4448,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[243,149,289,287,150,148,93,241,288,76],"class_list":["post-4444","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-brave","tag-chrome","tag-cookies","tag-facebook","tag-firefox","tag-infostealer","tag-malware","tag-microsoft-edge","tag-php","tag-zlonamjerni-softver"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/4444","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=4444"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/4444\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/4448"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=4444"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=4444"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=4444"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}