Image: SomYuZu/Adobe Stock Morphisec, un fournisseur de solutions de sécurité basé en Israël, a signalé qu’un fureur d’information avancé malware dubbed SYS01 est destiné à voler l’accès de comptes d’affaires Facebook et de navigateurs basés sur le chrome. Le chercheur de Morphisec a également vu le malware SYS01 attaquer les employés critiques de l’infrastructure gouvernementale, les entreprises de fabrication et d’autres industries.
Cette attaque de malware est similaire à une autre campagne baptisée S1deload Stealer par Bitdefender, pourtant la charge utile finale n’est pas la même, laissant la question ouverte quant à qui est derrière la campagne d’attaque de SYS01.
Aller à :
- SYS01 infection chaine
- Voleur d’information SYS01
- SYS01 vole des données particulières
- Comment protéger contre la menace de malware SYS01 SYS01 infection chaine
L’attaque malware SYS01 commence par attirer une victime en cliquant sur une URL à partir d’un faux profil Facebook, une publicité ou un lien vers des flux en direct, des applications gratuites, des films ou des jeux. Lorsque l’utilisateur clique sur le lure, le téléchargement d’un fichier d’archive ZIP commence.
Le fichier ZIP contient une partie de chargeur et une charge utile finale. La partie chargeur se compose d’une application légitime qui est vulnérable à DLL sideloading . Une fois que la victime exécute le fichier légitime, il charge silencieusement une première charge utile contenue dans un fichier DLL contenu dans le même dossier que l’application légitime.
Comme l’a mentionné le chercheur Morphisec Arnold Osipov, le chargeur peut être n’importe quel type de fichier exécutable, comme les exécutables Rust et Python. Pourtant, le comportement est toujours le même en cours : Il exécute le code d’un fichier DLL malveillant contenu dans le fichier ZIP.
La DLL malveillante exécute à son tour un installateur Inno-Setup qui décompresse et dépose le code PHP responsable du vol et de l’exfiltratage d’informations ( Figure A ).
Figure A
Image: Morphisec. Chaîne d’infections pour l’attaque SYS01. Différents scénarios pourraient arriver avec la partie chargeur. Pour les démarreurs, le fichier ZIP peut contenir la charge utile de deuxième étape nécessaire. S’il n’est pas dans le fichier ZIP, la charge utile de deuxième étape est probablement téléchargée à partir d’un serveur C2 contrôlé par un attaquant avant d’être décodée et exécutée.
Voleur d’information SYS01
Une fois le chargeur exécuté avec succès, l’installateur Inno-Setup est exécuté. L’installateur dépose une application PHP avec des fichiers supplémentaires :
- Index.php est en charge des principales fonctionnalités de malware.
- Include.php établit la persistance des logiciels malveillants par des tâches programmées; c’est le fichier exécuté par l’installateur.
- Version.php contient la version malware.
- Rhc.exe cache la fenêtre de console des programmes lancés, permettant au malware d’être plus furtif en ne montrant pas des fenêtres spécifiques à l’utilisateur actuellement connecté.
- Rss.txt est un fichier encodé de base64, qui contient un fichier exécutable écrit dans Rust. L’exécutable obtient la date et l’heure courante et décrypte les clés de chiffrement des navigateurs à base de chrome. The date and time is fetched by the malware to know when to establish persistence in scheduled tasks. Comme l’a noté Osipov, les fichiers PHP plus anciens n’étaient pas obfusés, mais les nouvelles versions des logiciels malveillants ont été encodés à l’aide d’outils commerciaux ionCube et Zephir.
Une fois que le malware fonctionne, il crée un tableau de configuration contenant diverses informations, y compris une liste de serveurs C2 choisis aléatoirement et utilisés à chaque exécution du malware. Le malware est également en mesure de télécharger et d’exécuter des fichiers et des commandes, en plus d’être en mesure de se mettre à jour.
SYS01 vole des données particulières
SYS01 stealer est en mesure d’obtenir tous les cookies et les pouvoirs des navigateurs Chromium.
Le malware vérifie si l’utilisateur a un compte Facebook. Si l’utilisateur est connecté à ce compte, le logiciel malveillant demande l’interface de programmation graphique de Facebook pour obtenir un jeton et vole toutes les informations Facebook de la victime. Toutes les informations volées sont exfiltrées sur un serveur C2.
Comment protéger contre la menace de malware SYS01
DLL sideloading is possible because of the DLL recherche ordre implémenté dans Microsoft Windows. Certains développeurs ont ce problème à l’esprit lors de la programmation de leur logiciel et de créer un code qui n’est pas spécifiquement vulnérable à cette technique.
Cependant, Morphisec a noté que la plupart des programmeurs n’ont pas de sécurité à l’esprit lors du développement, de sorte que les entreprises doivent ajouter plus de protection contre cette technique:
Définir les privilèges des utilisateurs, de sorte qu’ils ne peuvent pas installer des logiciels tiers qui pourraient exploiter le chargement de côté DLL.
Surveillez les signes d’avertissement de la DLL. Les fichiers DLL non signés utilisés par les exécutables signés devraient soulever de tels avertissements, ainsi que les chemins de chargement suspects.
Utiliser des outils de sécurité tels que DLLSpy ou Caractéristiques de Windows Hunter pour essayer de détecter DLL sideloading. Ressources telles que Jack. Libs peut également être utile, car il répertorie beaucoup d’applications vulnérables à DLL sideloading.
Garder les systèmes d’exploitation et tous les logiciels jusqu’à présent et patché afin d’éviter d’être compromis par une vulnérabilité commune.
Former les employés à détecter des astuces d’ingénierie sociale communes et à être conscient des risques de téléchargement de contenu tiers depuis Internet, en particulier les logiciels pirates qui contiennent souvent des chargeurs de logiciels malveillants. Lire la suite : Politique de sensibilisation et de formation à la sécurité (TechRepublic Premium)
Divulgation : Je travaille pour Trend Micro, mais les vues exprimées dans cet article sont à moi.
Cybersecurity Insider Newsletter
Renforcer les défenses de sécurité de votre organisation en gardant au courant des dernières nouvelles, solutions et pratiques de cybersécurité.
Livré mardi et jeudi Inscrivez-vous aujourd’hui