I ricercatori di sicurezza informatica di Morphisec hanno di recente descritto i dettagli di una campagna avanzata per il furto di informazioni veicolante il malware SYS01 Stealer.
“Abbiamo visto lo stealer SYS01 attaccare dipendenti di infrastrutture governative critiche, aziende manifatturiere e altri settori. Gli attori delle minacce dietro la campagna stanno prendendo di mira gli account aziendali di Facebook utilizzando gli Google Ads e falsi profili Facebook che promuovono giochi, contenuti per adulti, software craccato, ecc. Per indurre le vittime a scaricare un file dannoso l’attacco è progettato per rubare informazioni sensibili, inclusi dati di accesso, cookie e informazioni sull’account aziendale e sulla pubblicità di Facebook. “, commenta Arnold Osipov di Morphisec.
Il flusso di attacco
L’attacco inizia da un falso profilo Facebook o annuncio pubblicitario inducendo la vittima a fare clic su di un URL per scaricare un archivio ZIP che dovrebbe contenere un’applicazioneche, un gioco, o un film. In realtà contiene un’applicazione C# legittima (loader) suscettibile a una vulnerabilità sideloading fornita con una DLL nascosta.
Gli attaccanti utilizzano tecniche di sideloading per l’esecuzione, la persistenza, l’escalation dei privilegi e l’evasione della difesa. Ciò consente infatti agli attori delle minacce di fare in modo di caricare la DLL malevola invece di quella corretta, dirottando applicazioni attendibili per caricare ed eseguire payload dannosi.
Nella fattispecie questa applicazione legittima serve per scaricare ed eseguire il programma di installazione Inno-Setup per il rilascio definitivo di un progetto PHP (index.php, include.php) contenente script dannosi e responsabili del furto e dell’esfiltrazione. In particolare lo script principale (index.php) supporta diverse attività tra cui verificare se la vittima ha effettuato l’accesso ad un account Facebook (get_ck_all), il download e l’esecuzione di file da un determinato URL (dlAR), caricare file sul server C2 (upload) e eseguire comandi (r).
Come proteggersi
Come detto da Morphisec, poichè l’infostealer SYS01 viene fondamentalmente veicolato tramite campagne di ingegneria sociale, è cruciale sottolineare l’importanza della formazione degli utenti sui possibili rischi correlati oltre, ovviamente, all’implementazione di una politica zero-trust e alla limitazione dei diritti degli utenti di scaricare e installare programmi.
Ulteriori dettagli e IoC sono reperibili sul post nel blog.
