SYS01stealer está diseñado para filtrar la información de Facebook de la víctima
Investigadores de seguridad cibernética han descubierto un nuevo ladrón de información denominado SYS01stealer dirigido a empleados de infraestructuras gubernamentales críticas, empresas manufactureras y otros sectores.
"Los actores de amenazas detrás de la campaña están apuntando a las cuentas comerciales de Facebook mediante el uso de anuncios de Google y perfiles falsos de Facebook que promocionan cosas como juegos, contenido para adultos y software descifrado, etc. para atraer a las víctimas para que descarguen un archivo malicioso", dijo Morphisec en un informe.
"El ataque está diseñado para robar información confidencial, incluidos datos de inicio de sesión, cookies e información de cuentas comerciales y anuncios de Facebook".
La compañía de seguridad cibernética israelí dijo que la campaña estaba inicialmente vinculada a una operación cibercriminal con motivación financiera denominada Ducktail por Zscaler.
Sin embargo, WithSecure, que documentó por primera vez el grupo de actividad de Ducktail en julio de 2022, dijo que los dos conjuntos de intrusos son diferentes entre sí, lo que indica cómo los actores de amenazas lograron confundir los esfuerzos de atribución y evadir la detección.
La cadena de ataque, según Morphisec, comienza cuando se atrae a la víctima para que haga clic en una URL de un perfil o anuncio falso de Facebook para descargar un archivo ZIP que pretende ser software descifrado o contenido para adultos.
Al abrir el archivo ZIP, se inicia un cargador basado, generalmente una aplicación C# legítima, que es vulnerable a la carga lateral de DLL, lo que hace posible cargar un archivo de biblioteca de vínculos dinámicos (DLL) malicioso junto con la aplicación.
Algunas de las aplicaciones de las que se abusa para descargar la DLL no autorizada son WDSyncService.exe de Western Digital y ElevatedInstaller.exe de Garmin. En algunos casos, la DLL de carga lateral actúa como un medio para implementar ejecutables intermedios basados en Python y Rust.
Independientemente del enfoque empleado, todos los caminos conducen a la entrega de un instalador que descarga y ejecuta el malware SYS01stealer basado en PHP.
El ladrón está diseñado para recolectar cookies de Facebook de navegadores web basados en Chromium (por ejemplo, Google Chrome, Microsoft Edge, Brave, Opera y Vivaldi), filtrar la información de Facebook de la víctima a un servidor remoto y descargar y ejecutar archivos arbitrarios.
También está equipado para cargar archivos desde el host infectado al servidor de comando y control (C2), ejecutar comandos enviados por el servidor y actualizarse cuando hay una nueva versión disponible.
El desarrollo se produce cuando Bitdefender reveló una campaña de robo similar conocida como S1deload que está diseñada para secuestrar las cuentas de Facebook y YouTube de los usuarios y aprovechar los sistemas comprometidos para extraer criptomonedas.
"La carga lateral de DLL es una técnica muy eficaz para engañar a los sistemas Windows para que carguen código malicioso", dijo Morphisec.
"Cuando una aplicación se carga en la memoria y no se aplica el orden de búsqueda, la aplicación carga el archivo malicioso en lugar del legítimo, lo que permite a los actores de amenazas secuestrar aplicaciones legítimas, confiables e incluso firmadas para cargar y ejecutar cargas maliciosas".