Featured image of post SYS01 Steler Ziele Facebook-Geschäftskonten und Browser-Anmeldeinformationen
Security

SYS01 Steler Ziele Facebook-Geschäftskonten und Browser-Anmeldeinformationen

Die Infektionskette SYS01 verwendet DLL Sideloading, um Informationen zu stehlen. Erfahren Sie, wie Sie Ihr Geschäft vor dieser Cybersicherheit Bedrohung schützen.

Cybersecurity concept identity theft, Database hacks, internet cyber crime. hacker attack, Hacking and stealing data. damage the system and hack the data.

Bild: SomYuZu/Adobe Stock Morphisec, ein Sicherheitslösungsanbieter mit Sitz in Israel, hat berichtet, dass ein fortgeschrittener Informations-Stecker Malware gegraben SYS01 zielt darauf ab, den Zugang zu stehlen auf Facebook-Geschäftskonten und Chromium-basierte Browser-Berechtigungen. Morphisecs Forscher hat auch gesehen, die SYS01 Malware Angriff kritische Regierung Infrastruktur Mitarbeiter, Fertigungsunternehmen und andere Branchen.

Dieser Malware-Angriff ist ähnlich wie eine andere Kampagne gegraben S1deload Stealer von Bitdefender, aber die letzte Nutzlast ist nicht die gleiche, so dass die Frage offen bleibt, wer hinter der SYS01 Stelerangriffskampagne steht.

Zu:

  • SYS01 Infektionskette
  • SYS01 Informationen stehlen
  • SYS01 stiehlt bestimmte Daten
  • Wie schützt man vor der SYS01 Malware Bedrohung SYS01 Infektionskette

Der SYS01 Malware-Angriff beginnt, indem er ein Opfer in einen Klick auf eine URL von einem gefälschten Facebook-Profil, Werbung oder Link zu Live-Streams, kostenlose Anwendungen, Filme oder Spiele. Wenn der Benutzer auf das Lure klickt, startet der Download einer ZIP-Archivdatei.

Die ZIP-Datei enthält ein Ladeteil und eine letzte Nutzlast. Der Ladeteil besteht aus einer legitimen Anwendung, die für DLL Sideload . Sobald das Opfer die legitime Datei ausführt, lädt es leise eine erste Nutzlast, die in einer DLL-Datei im gleichen Ordner enthalten ist wie die legitime Anwendung.

Wie von Morphisec-Forscher Arnold Osipov erwähnt, könnte der Loader jede Art von ausführbaren Datei sein, wie Rust und Python ausführbar. Doch das Verhalten ist immer dasselbe, wenn es läuft: Es führt den Code aus einer bösartigen DLL-Datei in der ZIP-Datei enthalten.

Die schädliche DLL wiederum führt einen Inno-Setup-Installer aus, der PHP-Code dekomprimiert und fällt, der für stehlen und ausrotten Informationen verantwortlich ist ( Abbildung A )

Abbildung A

Infection chain for the SYS01 attack.

Bild: Morphisec. Infektionskette für den SYS01-Angriff. Verschiedene Szenarien könnten mit dem Ladeteil passieren. Für Starter kann die ZIP-Datei die notwendige zweite Stufe Payload enthalten. Ist sie nicht in der ZIP-Datei, wird die zweite Stufe-Payload wahrscheinlich von einem angreifergesteuerten C2-Server heruntergeladen, bevor sie decodiert und ausgeführt werden.

SYS01 Informationen stehlen

Nachdem der Loader erfolgreich ausgeführt wird, wird der Inno-Setup-Installer ausgeführt. Der Installer sinkt eine PHP-Anwendung mit zusätzlichen Dateien:

  • Index.php ist verantwortlich für die wichtigsten Malware-Funktionalitäten.
  • Include.php stellt die Malware-Persistenz über geplante Aufgaben fest; es ist die Datei, die vom Installer ausgeführt wird.
  • Version.php enthält die Malware-Version.
  • Rhc.exe verbirgt das Konsolenfenster der gestarteten Programme, so dass die Malware stehlen, indem nicht bestimmte Fenster dem aktuell eingeloggten Benutzer angezeigt werden.
  • Rss.txt ist eine base64 kodierte Datei, die eine ausführbare Datei enthält, die in Rust geschrieben ist. Die ausführbare bekommt das aktuelle Datum und die Zeit und entschlüsselt Chromium-basierte Browser-Verschlüsselungsschlüssel. Das Datum und die Uhrzeit werden von der Malware abgeholt, um zu wissen, wann man die Beharrlichkeit in geplanten Aufgaben festlegt. Wie von Osipov, ältere PHP-Dateien wurden nicht obfuscated, aber die neueren Versionen der Malware wurden kodiert mit kommerziellen Tools ionCube und Zephir.

Sobald die Malware läuft, erstellt es ein Konfigurations-Array mit verschiedenen Informationen, einschließlich einer Liste von C2-Servern zufällig gewählt und bei jeder Ausführung der Malware verwendet. Die Malware ist auch in der Lage, Dateien und Befehle herunterzuladen und auszuführen, zusätzlich um sich zu aktualisieren.

SYS01 stiehlt bestimmte Daten

SYS01 Stealer kann alle Cookies und Anmeldeinformationen von Chromium-basierten Browsern erhalten.

Die Malware prüft, ob der Benutzer ein Facebook-Konto hat. Wenn der Benutzer bei diesem Konto eingeloggt ist, fragt die Malware die Facebook-Diagramm-Anwendungs-Programmierschnittstelle, um einen Token zu erhalten und stiehlt alle Facebook-Informationen des Opfers. Alle gestohlenen Informationen werden auf einen C2-Server ausgelöscht.

Wie schützt man vor der SYS01 Malware Bedrohung

DLL Sideloading ist aufgrund der Online Suche nach in Microsoft Windows implementiert. Einige Entwickler haben dieses Problem bei der Programmierung ihrer Software und erstellen Code, die speziell für diese Technik nicht gefährdet ist.

Morphisec stellte jedoch fest, dass die meisten Programmierer bei der Entwicklung keine Sicherheit haben, so dass Unternehmen mehr Schutz gegen diese Technik hinzufügen müssen:

  • Legen Sie die Privilegien der Nutzer fest, so dass sie keine Software von Drittanbietern installieren können, die das Seitenladen von DLL ausnutzen könnte.

  • Überwachen Sie Warnzeichen für DLL-Seitenladung. Unsigned DLL-Dateien, die von signierten ausführbaren verwendet werden, sollten solche Warnungen erhöhen, sowie verdächtige Ladepfade.

  • Verwenden Sie Sicherheitstools wie UMWELT oder Windows Features Hunter um zu versuchen, DLL Sideloading zu erkennen. Ressourcen wie Hijack. Libs kann auch nützlich sein, da es eine Menge von Anwendungen auflistet, die gegen DLL Sideloading anfällig sind.

  • Halten Sie Betriebssysteme und alle Software auf dem Laufenden und Patch, um nicht durch eine gemeinsame Sicherheitslücke beeinträchtigt zu werden.

  • Trainieren Sie Mitarbeiter, um gemeinsame Social Engineering Tricks zu erkennen und die Risiken des Herunterladens von Drittanbieter-Inhalte aus dem Internet, vor allem Piraten-Software, die oft Malware-Lader enthält bewusst zu sein. Weiter lesen: Sicherheitsbewusstsein und Schulungspolitik (TechRepublic Premium)

    Angaben: Ich arbeite für Trend Micro, aber die Ansichten in diesem Artikel sind meine.

    image

    Cybersecurity Insider Newsletter

    Stärken Sie die IT-Sicherheitsabwehr Ihrer Organisation, indem Sie die neuesten Cyber-Sicherheitsnachrichten, Lösungen und Best Practices beibehalten.

    Geliefert Dienstags und Donnerstags Heute anmelden

© 2024 BilbyTech