Les chercheurs en cybersécurité ont découvert un nouveau voleur d’informations baptisé SYS01stealer ciblant les employés des infrastructures gouvernementales critiques, les entreprises manufacturières et d’autres secteurs.
« Les acteurs de la menace derrière la campagne ciblent les comptes professionnels Facebook en utilisant des publicités Google et de faux profils Facebook qui font la promotion de choses comme des jeux, du contenu pour adultes et des logiciels piratés, etc. pour inciter les victimes à télécharger un fichier malveillant », a déclaré Morphisec dans un rapport.
« L’attaque est conçue pour voler des informations sensibles, notamment des données de connexion, des cookies, des publicités Facebook et des informations sur les comptes professionnels. »
La société israélienne de cybersécurité a déclaré que la campagne était initialement liée à une opération cybercriminelle à motivation financière baptisée Ducktail par Zscaler.
Cependant, WithSecure, qui a documenté pour la première fois le cluster d’activités Ducktail en juillet 2022, a déclaré que les deux ensembles d’intrusions sont différents l’un de l’autre, indiquant comment les acteurs de la menace ont réussi à confondre les efforts d’attribution et à échapper à la détection.
La chaîne d’attaque, selon Morphisec, commence lorsqu’une victime est amenée à cliquer sur une URL à partir d’un faux profil Facebook ou d’une publicité pour télécharger une archive ZIP qui prétend être un logiciel piraté ou un contenu pour adultes.
L’ouverture du fichier ZIP lance un chargeur basé – généralement une application C # légitime – qui est vulnérable au chargement latéral de DLL , permettant ainsi de charger un fichier de bibliothèque de liens dynamiques (DLL) malveillant à côté de l’application.
Certaines des applications utilisées de manière abusive pour charger la DLL malveillante sont WDSyncService.exe de Western Digital et ElevatedInstaller.exe de Garmin. Dans certains cas, la DLL à chargement latéral agit comme un moyen de déployer des exécutables intermédiaires basés sur Python et Rust.
Quelle que soit l’approche utilisée, tous les chemins mènent à la livraison d’un programme d’installation qui dépose et exécute le malware SYS01stealer basé sur PHP.
Le Stealer est conçu pour récolter les cookies Facebook des navigateurs Web basés sur Chromium (par exemple, Google Chrome, Microsoft Edge, Brave, Opera et Vivaldi), exfiltrer les informations Facebook de la victime vers un serveur distant, et télécharger et exécuter des fichiers arbitraires.
Il est également équipé pour télécharger des fichiers de l’hôte infecté vers le serveur de commande et de contrôle (C2), exécuter des commandes envoyées par le serveur et se mettre à jour lorsqu’une nouvelle version est disponible.
Le développement intervient alors que Bitdefender a révélé une campagne de vol similaire connue sous le nom de S1deload , conçue pour détourner les comptes Facebook et YouTube des utilisateurs et exploiter les systèmes compromis pour miner de la crypto-monnaie.
« Le chargement latéral de DLL est une technique très efficace pour inciter les systèmes Windows à charger du code malveillant », a déclaré Morphisec.
« Lorsqu’une application se charge en mémoire et que l’ordre de recherche n’est pas appliqué, l’application charge le fichier malveillant au lieu du fichier légitime, permettant aux acteurs de la menace de détourner des applications légitimes, fiables et même signées pour charger et exécuter des charges utiles malveillantes. »
