Ladrón SYS01
Los investigadores de seguridad cibernética han descubierto un nuevo malware que roba información y que se dirige específicamente a las cuentas de Facebook de los empleados en infraestructuras gubernamentales críticas. El malware, llamado Sys01 Stealer, se distribuye a través de anuncios de Google y cuentas falsas de Facebook que promocionan contenido para adultos, juegos y software descifrado. Una vez descargado, el malware se ejecuta en la computadora de la víctima a través de la carga lateral de DLL, una técnica que permite que el malware evite la detección por parte del software de seguridad. Los detalles sobre la cadena de infección y las capacidades maliciosas de la amenaza fueron publicados en un informe de expertos en seguridad.
Las técnicas de distribución y ejecución utilizadas por Sys01 Stealer son similares a las utilizadas por otro malware llamado ' S1deload Stealer . S1deload Stealer también apuntó a cuentas de Facebook y YouTube para recopilar datos. El peligro que representan estos tipos de malware es significativo, ya que las amenazas están diseñadas específicamente para robar información confidencial y pueden eludir ciertas medidas de seguridad.
Tabla de contenido
El ladrón SYS01 apunta a numerosas industrias, incluido el sector gubernamental
Sys01 Stealer es un malware que se ha dirigido a empleados de diferentes industrias desde noviembre de 2022, incluidos los del gobierno y la fabricación. El objetivo principal del malware es filtrar información confidencial, como credenciales de inicio de sesión, cookies y anuncios de Facebook y datos de cuentas comerciales de sus víctimas.
Los atacantes emplean varias tácticas para atraer a sus víctimas, incluido el uso de anuncios o la creación de cuentas de Facebook falsas. Estos anuncios o cuentas falsas contienen una URL que conduce a un archivo ZIP que se anuncia que contiene una película, un juego o una aplicación.
El archivo ZIP contiene un cargador, que es una aplicación legítima que tiene una vulnerabilidad en la carga lateral de DLL y una biblioteca no segura que se carga lateralmente. Esta biblioteca elimina el instalador Inno-Setup que instala una carga útil final en forma de una aplicación PHP. Esta aplicación contiene secuencias de comandos comprometidas que se utilizan para recopilar y filtrar datos.
Los actores de amenazas utilizaron varios lenguajes de programación y codificadores para dificultar la detección del ladrón SYS01
El ladrón SYS01 utiliza un script PHP para lograr la persistencia mediante la configuración de una tarea programada en el sistema infectado. La secuencia de comandos principal, que incluye la función de robo de información, tiene varias funciones, incluida la capacidad de comprobar si la víctima tiene una cuenta de Facebook y ha iniciado sesión. La secuencia de comandos también puede descargar y ejecutar archivos desde una URL designada, cargar archivos en una servidor de comando y control, y ejecutar comandos.
Según el análisis, el ladrón de información utiliza varios lenguajes de programación, incluidos Rust, Python, PHP y codificadores avanzados de PHP, para evitar la detección.
Se recomienda encarecidamente que las organizaciones implementen una política de confianza cero y restrinjan los derechos de los usuarios para descargar e instalar programas para evitar infecciones por amenazas como Sys01 Stealer. Dado que Sys01 Stealer se basa en tácticas de ingeniería social, los usuarios deben ser informados sobre las técnicas utilizadas por los adversarios para detectarlos y evitarlos.
Video Ladrón SYS01
Consejo: encienda el sonido y mire el video en modo de pantalla completa .
