اكتشف باحثو الأمن السيبراني سرقة معلومات جديدة يطلق عليها SYS01stealer تستهدف موظفي البنية التحتية الحكومية الهامة وشركات التصنيع والقطاعات الأخرى منذ نوفمبر 2022.
وقال مورفيسيك في تقرير : "يستهدف القائمون بالتهديد الذين يقفون وراء الحملة حسابات Facebook التجارية باستخدام إعلانات Google وملفات تعريف Facebook المزيفة التي تروج لأشياء مثل الألعاب ومحتوى البالغين والبرامج المتصدعة وما إلى ذلك لجذب الضحايا إلى تنزيل ملف ضار". مشترك مع The Hacker News.
"الهجوم مصمم لسرقة معلومات حساسة ، بما في ذلك بيانات تسجيل الدخول وملفات تعريف الارتباط وإعلان Facebook ومعلومات حساب الأعمال."
قالت شركة الأمن السيبراني الإسرائيلية إن الحملة كانت مرتبطة في البداية بعملية إجرامية إلكترونية ذات دوافع مالية أطلق عليها Zscaler Ducktail .
ومع ذلك ، قالت WithSecure ، التي وثقت لأول مرة مجموعة نشاط Ducktail في يوليو 2022 ، إن مجموعتي التطفل مختلفتان عن بعضهما البعض ، مما يشير إلى كيفية تمكن الجهات الفاعلة في التهديد من إرباك جهود الإسناد والتهرب من الاكتشاف.
تبدأ سلسلة الهجوم ، وفقًا لـ Morphisec ، عندما يتم إغراء الضحية بنجاح للنقر على عنوان URL من ملف تعريف مزيف على Facebook أو إعلان لتنزيل أرشيف ZIP يزعم أنه برنامج متصدع أو محتوى خاص بالبالغين.
يؤدي فتح ملف ZIP إلى تشغيل أداة تحميل قائمة - عادةً ما يكون تطبيق C # شرعيًا - يكون عرضة للتحميل الجانبي لـ DLL ، مما يجعل من الممكن تحميل ملف مكتبة الارتباط الديناميكي الضار (DLL) إلى جانب التطبيق.
بعض التطبيقات التي يساء استخدامها لتحميل مكتبة الارتباط الديناميكي المارقة هي WDSyncService.exe من Western Digital و ElevatedInstaller.exe من Garmin. في بعض الحالات ، تعمل DLL المحملة من الجانب كوسيلة لنشر الملفات التنفيذية الوسيطة المستندة إلى Python و Rust.
بصرف النظر عن النهج المتبع ، تؤدي جميع الطرق إلى تسليم المُثبِّت الذي يسقط البرنامج الخبيث SYS01stealer المستند إلى PHP وينفذه.
تم تصميم أداة السرقة لجمع ملفات تعريف الارتباط على Facebook من متصفحات الويب المستندة إلى Chromium (مثل Google Chrome و Microsoft Edge و Brave و Opera و Vivaldi) ، ونقل معلومات الضحية على Facebook إلى خادم بعيد ، وتنزيل ملفات عشوائية وتشغيلها.
إنه مجهز أيضًا لتحميل الملفات من المضيف المصاب إلى خادم الأوامر والتحكم (C2) ، وتشغيل الأوامر التي يرسلها الخادم ، وتحديث نفسه عند توفر إصدار جديد.
يأتي هذا التطوير في الوقت الذي كشفت فيه Bitdefender عن حملة سرقة مماثلة تُعرف باسم S1deload مصممة لاختطاف حسابات المستخدمين على Facebook و YouTube والاستفادة من الأنظمة المخترقة لتعدين العملة المشفرة.
قال Morphisec: "التحميل الجانبي لـ DLL هو أسلوب فعال للغاية لخداع أنظمة Windows لتحميل تعليمات برمجية ضارة".
"عندما يتم تحميل تطبيق في الذاكرة ولا يتم فرض أمر البحث ، يقوم التطبيق بتحميل الملف الضار بدلاً من الملف الشرعي ، مما يسمح للجهات الفاعلة بالتهديد باختطاف التطبيقات الشرعية والموثوقة وحتى الموقعة لتحميل وتنفيذ حمولات ضارة."
بصرف النظر عن النهج المتبع ، تؤدي جميع الطرق إلى تسليم المُثبِّت الذي يسقط البرنامج الخبيث SYS01stealer المستند إلى PHP وينفذه.
تم تصميم أداة السرقة لجمع ملفات تعريف الارتباط على Facebook من متصفحات الويب المستندة إلى Chromium (مثل Google Chrome و Microsoft Edge و Brave و Opera و Vivaldi) ، ونقل معلومات الضحية على Facebook إلى خادم بعيد ، وتنزيل ملفات عشوائية وتشغيلها.
إنه مجهز أيضًا لتحميل الملفات من المضيف المصاب إلى خادم الأوامر والتحكم (C2) ، وتشغيل الأوامر التي يرسلها الخادم ، وتحديث نفسه عند توفر إصدار جديد.
يأتي هذا التطوير في الوقت الذي كشفت فيه Bitdefender عن حملة سرقة مماثلة تُعرف باسم S1deload مصممة لاختطاف حسابات المستخدمين على Facebook و YouTube والاستفادة من الأنظمة المخترقة لتعدين العملة المشفرة.
قال Morphisec: "التحميل الجانبي لـ DLL هو أسلوب فعال للغاية لخداع أنظمة Windows لتحميل تعليمات برمجية ضارة".
"عندما يتم تحميل تطبيق في الذاكرة ولا يتم فرض أمر البحث ، يقوم التطبيق بتحميل الملف الضار بدلاً من الملف الشرعي ، مما يسمح للجهات الفاعلة بالتهديد باختطاف التطبيقات الشرعية والموثوقة وحتى الموقعة لتحميل وتنفيذ حمولات ضارة."