Sahte Facebook Profillerine Dikkat Edin, Sys01 Stealer’ı Zorlayan Google Reklamları

   Mart 9, 2023  Posted in HackRead


SYS01 hırsızı şimdilik üretim şirketleri, kritik devlet altyapıları ve diğer hassas sektörlerde çalışan çalışanların Facebook hesaplarını hedefliyor.

Morphisec’teki siber güvenlik araştırmacıları, gelişmiş bir sistemin ayrıntılarını ortaya çıkardı. bilgi çalan kötü amaçlı yazılım Kasım 2022’de izlemeye başladıkları kampanya. Kötü amaçlı yazılıma SYS01 Stealer adını verdiler.

Araştırmacılar, SYS01 Stealer’ın kritik devlet altyapısını ve imalat firmalarının çalışanlarını hedef aldığını belirtti. Saldırganlar, Google reklamları aracılığıyla hedeflerinin Facebook işletme hesaplarını hedefliyor ve sahte Facebook profillerikurbanlarını kötü amaçlı bir ZIP dosyası indirmeye zorlamak için oyunları, kırılmış yazılımları ve yetişkinlere uygun içeriği tanıtan.

Dolandırıcılar birkaç yıldır Google’ın Reklam Ekosistemini kötüye kullandığından, Google Ads’in kötü niyetli kullanımı sürpriz olmamalı. Sadece Birkaç hafta önceGoogle Ads’ün sahte haberci ve tarayıcı uygulamalarında kötü amaçlı yazılım yaydığı tespit edildi.

Kötü amaçlı yazılım, hedefin makinesinde DLL yandan yükleme yoluyla yürütülür. Kampanya ilk olarak Mayıs 2022’de, Zscaler’ın Ducktail işlemidaha sonra yanlış hale getirildi.

Detaylı analiz

İçinde Blog yazısı, Morphisec araştırmacıları, arşivin, DLL yandan yüklemeye karşı savunmasız olan bir yükleyici olarak meşru bir uygulamaya ve yandan yükleme yoluyla Inno-Setup yükleyicisini düşüren kötü amaçlı bir kitaplığa sahip olduğunu yazdı. Buna karşılık, son yük, aslında veri hırsızlığı gerçekleştiren kötü amaçlı komut dosyaları içeren bir PHP uygulaması olarak dağıtılır. Arşiv kalıcılığı bir PHP betiği aracılığıyla sağlanır.

Zamanlanmış bir görev ayarlayarak bu görevi gerçekleştirir. Ana hırsız komut dosyası, saldırganın kurbanın oturum açıp açmadığını ve bir Facebook hesabı.

Ayrıca, bu komut dosyası, dosyaların belirli bir URL’den indirilmesini ve yürütülmesini de destekler ve dosyaları C2 sunucusuna yükleyebilir. Ayrıca komutları yürütebilir.

Amaç nedir?

Bu kampanya, kurbanların cihazlarından çerezler, oturum açma verileri ve kişisel ve ticari Facebook hesap bilgileri. Saldırgan, teslimat zincirini ilerletmek için Rust, PHP, Python ve gelişmiş PHP kodlayıcıları dahil etti ve bu, son beş aydır güvenlik satıcılarından başarıyla kurtulmalarına yardımcı oldu.

Sahte Facebook Profillerine Dikkat Edin, Sys01 Stealer'ı Zorlayan Google Reklamları
enfeksiyon zinciri

SYS01 Diğer Infostealer ile benzerlikler?

Morphisec analizi, SYS01’in aynı yükleme tekniklerini ve yemleri kullandığını ortaya çıkardı. S1deload bilgi hırsızı (PDF), Bitdefender tarafından keşfedildi. Ancak, son yükün aynı olmadığını belirtmekte fayda var.

Sıfır güven politikası uygulayarak ve kullanıcıların program indirme ve yükleme haklarını kısıtlayarak SYS01 hırsızından korunmaya devam edebilirsiniz. Bu kampanya sosyal mühendisliğe dayandığından, kullanıcılar rakiplerin kendilerine karşı kullanabilecekleri hilelerin farkında olmalıdır.

Kendini koru

Bir hükümet veya kritik altyapı kuruluşunda çalışansanız, özellikle sosyal medya sitelerinde olmak üzere kötü amaçlı yazılım saldırılarına karşı dikkatli olmalısınız. İşte bunun nasıl yapılacağına ilişkin bazı adımlar:

  • Facebook gibi sosyal medya platformlarındaki istenmeyen mesajlara, arkadaşlık isteklerine ve bilinmeyen kaynaklardan gelen bağlantılara karşı dikkatli olun.
  • Herhangi bir bağlantıya tıklamadan veya herhangi bir eki indirmeden önce gönderenin kimliğini doğrulayın.
  • Cihazınıza virüsten koruma yazılımı ve güvenlik duvarları kurun ve güncelleyin ve bunların en son güvenlik yamalarıyla güncel olduğundan emin olun.
  • Sosyal medya hesaplarınız için güçlü ve benzersiz şifreler kullanın ve şifreleri farklı hesaplarda tekrar kullanmaktan kaçının.
  • Hesaplarınız için ekstra bir koruma katmanı sağlamak üzere iki faktörlü kimlik doğrulamayı (2FA) etkinleştirin.
  • Özellikle hassas bilgilere erişirken veya sosyal medya hesaplarında oturum açarken halka açık Wi-Fi ağlarını kullanmaktan kaçının.
  • Önemli verileri düzenli olarak harici bir sabit sürücüye veya bulut depolama hizmetine yedekleyin.
  • Herhangi bir şüpheli faaliyeti, mesajı veya bağlantıyı derhal kuruluşunuzun BT departmanına bildirin.
  • Düzenli eğitim oturumlarına ve seminerlere katılarak en son kötü amaçlı yazılım ve siber güvenlik trendlerinden haberdar olun.
  • Sosyal medya kullanımına ilişkin olanlar da dahil olmak üzere kuruluşunuzun güvenlik politikalarına ve prosedürlerine uyun.
  1. Oturum açma verilerini çalmak için Messenger sohbet robotlarını kullanan dolandırıcılar
  2. Fake Brave tarayıcısı, Google Ads’den kötü amaçlı yazılım bıraktı
  3. Schoolyard Bully kötü amaçlı yazılımı Facebook kimlik bilgilerini çalıyor
  4. Google Ads kötü amaçlı yazılımı, NFT etkileyicisinin kripto cüzdanını siliyor
  5. Mandrake Android kötü amaçlı yazılımı Facebook ve kripto verilerini çalıyor



Source link