SYS01stealer:使用Facebook广告针对关键基础设施公司的新威胁

SYS01stealer:使用Facebook广告针对关键基础设施公司的新威胁

OD真人官网研究人员发现了一种新的信息窃取者 SYS01stealer 针对政府基础设施的关键员工， 制造业 公司和其他行业自2022年11月以来.
“这场活动背后的威胁行动者将Facebook作为目标 业务 使用帐户 谷歌 广告和虚假的Facebook资料来推广游戏等内容, 成人内容, 破解软件, 等. 引诱受害者下载恶意文件，”Morphisec在一份声明中说 报告 与黑客新闻分享.
“这次攻击的目的是窃取敏感信息, 包括登录数据, 饼干, Facebook的广告 业务 账户信息.”
这家以色列OD真人官网公司表示，这次行动最初与一个以经济为动机的网络犯罪活动有关 被称为鸭尾巴式发型 由Zscaler.
然而，WithSecure 第一次有记录 2022年7月的鸭尾活动集群 两个入侵集 是不同的吗, 表明威胁行为者如何设法混淆归因工作并逃避检测.
根据Morphisec的说法，攻击链开始于 受害者 成功被引诱点击虚假Facebook个人资料或广告的URL，下载号称破解软件或成人主题内容的ZIP存档.
打开ZIP文件会启动一个基于加载器的程序——通常是一个合法的c#应用程序 脆弱的 to DLL侧载，从而可以在应用程序旁边加载恶意动态链接库(DLL)文件.
一些应用程序滥用侧加载流氓DLL是西部数据的WDSyncService.exe和Garmin的ElevatedInstaller.exe. 在某些情况下, 侧加载的DLL作为一种部署Python和基于rust的中间可执行文件的手段.
无论采用何种方法, 所有的道路都通向安装程序的交付，该安装程序删除并执行基于php的SYS01stealer 恶意软件.
偷窃者被设计成从Chromium-based获取Facebook cookie 网络 浏览器(e.g., 谷歌 铬, 微软 边缘, 勇敢的, 歌剧, 和维瓦尔第), 将受害者的Facebook信息泄露到远程服务器, 下载并运行任意文件.
您是否意识到第三方应用程序访问您公司的SaaS应用程序的风险? 加入我们的网络研讨会，了解授予的权限类型以及如何将风险降至最低.
它还配备了从受感染主机上传文件到命令和控制(C2)服务器, 运行服务器发送的命令, 而且 更新 当新版本可用时本身.
与此同时，Bitdefender也披露了一项类似的盗窃活动 S1deload 目的是劫持用户的脸书和YouTube账户，并利用 妥协 挖掘加密货币的系统.
“DLL侧加载是一种非常有效的欺骗技术 窗户 系统加载恶意代码，”Morphisec说.
当应用程序在内存中加载时，没有强制执行搜索顺序, 应用程序加载恶意文件而不是合法文件, 允许威胁分子合法劫持飞机, 受信任的, 甚至签名应用程序来加载和执行恶意负载.”
免费注册并开始接收您每天的OD真人官网新闻、见解和技巧.

source