В начале марта специалисты в области кибербезопасности обнаружили вредонос под названием Sys01 Stealer, нацеленный на аккаунты в Facebook (входит в организацию Meta, которая признана экстремистской и запрещена на территории РФ), принадлежащие сотрудникам критически важных государственных объектов. Наблюдали за новым вредоносным ПО эксперты компании Morphisec.
Компания Morphisec поделилась подробностями схемы для кражи данных, разработанной злоумышленниками. Специалисты отметили, что целью вредоноса были выбраны сотрудники критически важных государственных объектов, у которых есть аккаунты в социальной сети Facebook.
Получившая название Sys01 Stealer, вредоносная программа распространяется через рекламу Google Ads и поддельные аккаунты Facebook. В качестве объектов рекламы мошенники выбрали контент для взрослых, игры и взломанное программное обеспечение. Ссылка ведет к скачиванию ZIP-архива с вредоносной начинкой. После заражения вредонос запускается на компьютере жертвы с помощью удаленной загрузки DLL.
В прошлом месяце эксперты компании Bitdefender, которая специализируется на разработке систем киберзащиты, подробно описали аналогичные методы распространения и выполнения задач, используемые вредоносом S1deload Stealer. Его также используют для сбора данных учетных записей Facebook и YouTube. При этом, как отметили в Morphisec, эти две малвари отличаются.
Sys01 Stealer орудует на просторах интернета с ноября 2022 года. Он нацелен на сотрудников в различных отраслях, включая правительство и промышленность. Его цель — извлечение такой информации, как учетные данные, файлы cookie, а также данные бизнес-аккаунтов и отчетов по рекламе в Фейсбук.
Жертвы переходят по вредоносному рекламному объявлению или по ссылке на странице фейкового аккаунта и скачивают ZIP-архив, который якобы содержит фильм, игру или приложение. Однако в архиве находится загрузчик с официальным приложением, уязвимым перед удаленной загрузкой DLL, и вредоносная библиотека, которая удаляет установщик Inno-Setup. Последний развертывает конечную полезную нагрузку в виде PHP-приложения, в котором содержатся вредоносные скрипты для сбора и эксфильтрации данных.
PHP-скрипт отвечает за запуск задачи в непрерывном режиме, пока основной скрипт вредоноса-похитителя ищет на ПК, есть ли у жертвы аккаунт в Facebook и авторизован ли он в системе. Скрипт также поддерживает загрузку и запуск файлов по указанной ссылке, может загружать файлы на C2-сервер и выполнять команды.
В ходе анализа специалисты компании Morphisec также обнаружили, что вредонос использует шифровальщики Rust, Python и PHP, благодаря которым похититель смог оставаться незамеченным на протяжении всех этих пяти месяцев.
В компании Morphisec заявили, что основные шаги, которые помогут остановить Sys01 Stealer, включают внедрение политики “нулевого доверия” и ограничение прав пользователей на загрузку и установку программ, поскольку вредонос для обмана пользователей опирается на технологию социальной инженерии. Именно поэтому важно обучить пользователей методикам, которые используют злоумышленники. Только так деятельность вредоносного ПО можно обнаружить и остановить вовремя.