Ricercatori di cyber sicurezza hanno scoperto un nuovo furto di informazioni, soprannominato SYS01stealer, che dal novembre 2022 prende di mira dipendenti di infrastrutture governative critiche, aziende manifatturiere e altri settori.
"Gli attori delle minacce dietro la campagna stanno prendendo di mira gli account aziendali di Facebook utilizzando annunci di Google e falsi profili di Facebook che promuovono cose come giochi, contenuti per adulti e software craccati, ecc. per attirare le vittime a scaricare un file dannoso", affermano gli esperti in cyber security.
L'attacco è progettato per rubare informazioni sensibili, compresi i dati di accesso, i cookie e le informazioni sugli annunci e sugli account aziendali di Facebook.
Inoltre, gli esperti dichiarano che la campagna è stata inizialmente legata a un'operazione di cybercriminalità a sfondo finanziario soprannominata Ducktail da Zscaler.
Tuttavia, WithSecure, che ha documentato per la prima volta il cluster di attività Ducktail nel luglio 2022, ha affermato che i due set di intrusioni sono diversi l'uno dall'altro, indicando come gli attori delle minacce siano riusciti a confondere gli sforzi di attribuzione e a eludere il rilevamento.
La catena di attacco, inizia quando una vittima viene attirata con successo a cliccare su un URL da un falso profilo Facebook o da una pubblicità per scaricare un archivio ZIP che pretende di essere un software craccato o un contenuto a tema per adulti.
L'apertura del file ZIP avvia un caricatore basato - in genere un'applicazione C# legittima - che è vulnerabile al caricamento laterale di DLL, rendendo così possibile il caricamento di un file di libreria di collegamento dinamico (DLL) dannoso insieme all'applicazione.
Alcune delle applicazioni abusate per il caricamento laterale di DLL dannose sono WDSyncService.exe di Western Digital e ElevatedInstaller.exe di Garmin. In alcuni casi, la DLL caricata lateralmente funge da mezzo per distribuire eseguibili intermedi basati su Python e Rust.
Indipendentemente dall'approccio utilizzato, tutte le strade portano alla consegna di un programma di installazione che rilascia ed esegue il malware SYS01stealer basato su PHP.
Lo stealer è progettato per raccogliere i cookie di Facebook dai browser web basati su Chromium (ad esempio, Google Chrome, Microsoft Edge, Brave, Opera e Vivaldi), esfiltrare le informazioni di Facebook della vittima su un server remoto e scaricare ed eseguire file arbitrari.
Inoltre, è in grado di caricare i file dall'host infetto al server di comando e controllo (C2), eseguire i comandi inviati dal server e aggiornarsi quando è disponibile una nuova versione.
Lo sviluppo arriva mentre veniva rilevata una campagna di furto simile, nota come S1deload, progettata per dirottare gli account Facebook e YouTube degli utenti e sfruttare i sistemi compromessi per estrarre cripto valute.
l side-loading delle DLL è una tecnica molto efficace per ingannare i sistemi Windows e indurli a caricare codice dannoso", dichiarano gli esperti in cyber security.
Quando un'applicazione viene caricata in memoria e l'ordine di ricerca non viene rispettato, l'applicazione carica il file dannoso invece di quello legittimo, consentendo agli attori delle minacce di dirottare applicazioni legittime, affidabili e persino firmate per caricare ed eseguire payload dannosi.
Trovi questo articolo interessante?
Seguici anche sulle nostre pagine social e su Linkedin per non perdere i nostri nuovi post.