攻擊活動使用基于PHP的信息竊取程序來瞄準Facebook商業帳戶
在過去的一年里,一群攻擊者通過惡意谷歌廣告或虛假的 Facebook 個人資料傳播竊取惡意軟件的信息,以 Facebook 商業賬戶所有者為目標。
感染鏈通過合法應用程序使用 DLL 側載,以及使用各種編程語言(如 Rust、Python 和 PHP)編寫的獨立可執行文件。
安全公司 Morphisec 的研究人員在一份新報告中說:我們已經看到 SYS01stealer 攻擊關鍵的政府基礎設施員工、制造公司和其他行業。
該活動背后的威脅參與者通過使用谷歌廣告和虛假的 Facebook 個人資料來瞄準 Facebook 商業賬戶宣傳游戲、成人內容和破解軟件等內容,以引誘受害者下載惡意文件。
該攻擊旨在竊取敏感信息,包括登錄數據、cookie 以及 Facebook 廣告和企業帳戶信息。
研究人員過去也曾報告過此活動,他們將其歸因于DUCKTAIL,這是一個總部位于越南的黑客組織,同樣專門從事滲透 Facebook 商業帳戶的活動。然而,Morphisec 研究人員認為這種歸因是錯誤的。
自 2021 年以來一直在進行的 DUCKTAIL 攻擊似乎更具針對性和復雜性,其最終目標是濫用與被劫持賬戶相關的支付方式在平臺上投放廣告。
DLL 旁加載變體
研究人員跟蹤并分析了可追溯到 2022 年 5 月的幾次 SYS01stealer 攻擊,并發現隨著時間的推移會出現不同的變化。幾乎所有的攻擊,無論是通過 Facebook 個人資料還是通過惡意廣告傳播,都涉及一個以游戲、電影、破解應用程序甚至裸照形式呈現的 ZIP 文件。該文件通常包含作為合法應用程序一部分的可執行文件以及將在可執行文件運行時加載的惡意 DLL。
這種技術稱為 DLL旁加載或 DLL 劫持,會影響配置為使用相對路徑加載特定 DLL 的合法應用程序。這意味著應用程序將讓 Windows API 搜索 DLL,而不是使用絕對路徑指定要找到 DLL 的確切位置,并且搜索的位置之一將是當前工作目錄——目錄從中打開可執行文件。
這意味著攻擊者可以將這樣的可執行文件與一個 DLL 一起放置在一個文件夾中,該 DLL 的名稱與應用程序已知要查找的名稱相似,他們的流氓 DLL 將被加載到內存中。由于加載是由可能經過數字簽名且已知不是惡意的合法可執行文件完成的,因此某些安全解決方案可能不會標記 DLL。
如果用戶懷疑,他們可能會使用 VirusTotal 之類的服務而不是隨附的 DLL 來掃描干凈的 .exe 文件,尤其是因為它具有隱藏屬性,甚至可能不會出現在文件資源管理器中。
在一個攻擊變體中,研究人員發現攻擊者濫用了 WDSyncService.exe,這是一個可執行文件,是 WD Sync 的一部分,WD Sync 是存儲設備制造商 Western Digital 開發的應用程序。
在另一個例子中,他們使用了 ElevatedInstaller.exe,這是一個由技術公司 Garmin 開發的應用程序。這兩個應用程序都存在 DLL 側載漏洞并嘗試分別加載名為 WDSync.dll 和 vcruntime140.dll 的 DLL。
感染鏈導致 SYS01stealer
惡意 DLL 是一種惡意軟件加載程序,可執行其他隱藏的可執行文件或從隱藏在同一 ZIP 存檔中的 .dat 或 .txt 文件中提取它們。這些文件使用不同的編程語言(如 Rust 或 Python)創建,用于設置計劃任務、下載誘餌文件并將其顯示給受害者或提示誘餌錯誤。
最終的有效負載也是從命令和控制 (C&C) 服務器下載的,并且始終是使用 Inno-Setup 創建的安裝程序,該安裝程序部署了研究人員稱為 SYS01stealer 的木馬程序。
這個惡意程序是用 PHP 編寫的,PHP 通常是一種網絡腳本語言,因此它需要運行 PHP 運行時 (php.exe)。PHP 運行時包含在安裝程序中,執行的命令是 php.exe include.php。
include.php是負責部署持久化定時任務的腳本,加載index.php,里面包含盜號邏輯。該軟件包還包括一個名為 rhc.exe 的文件,用于隱藏已啟動程序的窗口和一個 Rust 可執行文件(有時名為 rss.txt),其目的是解密基于 Chromium 的瀏覽器用于保護敏感站點數據的加密密鑰,例如會話 cookie。
SYS01stealer 腳本聯系命令和控制服務器并發送有關受害者的識別信息。C&C 服務器響應腳本任務。一項名為 get_ck_all 的任務用于從系統上安裝的所有基于 Chromium 的瀏覽器中提取所有 cookie 和登錄數據。
攻擊還檢查用戶是否登錄了 Facebook 帳戶。它通過檢查 cookie 主機名是否包含 facebook.com 并收集分別存儲用戶 ID 和會話秘密的會話特定 cookie xs 和 c_user 來實現此目的。
提取的信息然后用于查詢 Facebook 的圖形 API 并提取有關受害者帳戶的所有可用信息,然后將其上傳回 C&C 服務器。
另一個實現的任務是 dlAR,它代表下載和運行。顧名思義,腳本將從給定的 URL 下載文件并使用指定的參數在系統上執行它。
攻擊者似乎是通過下載也使用 DLL 旁加載的更新加載程序來使用它來更新竊取程序,這次是通過濫用 Western Digital WD Discovery 應用程序和惡意 WDLocal.dll。
其他實現的任務稱為upload,用于將指定的本地文件上傳回C&C,以及r,用于通過Windows命令行提示符執行指定的命令并將結果發布到服務器。
幫助防止 SYS01stealer 的基本步驟包括實施零信任政策并限制用戶下載和安裝程序的權利。
而 SYS01stealer 在本質上依賴于社會工程活動,因此培訓用戶很重要關于對手使用的技巧,以便他們知道如何發現它們。
