攻击活动使用基于PHP的信息窃取程序来瞄准Facebook商业帐户
在过去的一年里,一群攻击者通过恶意谷歌广告或虚假的 Facebook 个人资料传播窃取恶意软件的信息,以 Facebook 商业账户所有者为目标。
感染链通过合法应用程序使用 DLL 侧载,以及使用各种编程语言(如 Rust、Python 和 PHP)编写的独立可执行文件。
安全公司 Morphisec 的研究人员在一份新报告中说:我们已经看到 SYS01stealer 攻击关键的政府基础设施员工、制造公司和其他行业。
该活动背后的威胁参与者通过使用谷歌广告和虚假的 Facebook 个人资料来瞄准 Facebook 商业账户宣传游戏、成人内容和破解软件等内容,以引诱受害者下载恶意文件。
该攻击旨在窃取敏感信息,包括登录数据、cookie 以及 Facebook 广告和企业帐户信息。
研究人员过去也曾报告过此活动,他们将其归因于DUCKTAIL,这是一个总部位于越南的黑客组织,同样专门从事渗透 Facebook 商业帐户的活动。然而,Morphisec 研究人员认为这种归因是错误的。
自 2021 年以来一直在进行的 DUCKTAIL 攻击似乎更具针对性和复杂性,其最终目标是滥用与被劫持账户相关的支付方式在平台上投放广告。
DLL 旁加载变体
研究人员跟踪并分析了可追溯到 2022 年 5 月的几次 SYS01stealer 攻击,并发现随着时间的推移会出现不同的变化。几乎所有的攻击,无论是通过 Facebook 个人资料还是通过恶意广告传播,都涉及一个以游戏、电影、破解应用程序甚至裸照形式呈现的 ZIP 文件。该文件通常包含作为合法应用程序一部分的可执行文件以及将在可执行文件运行时加载的恶意 DLL。
这种技术称为 DLL旁加载或 DLL 劫持,会影响配置为使用相对路径加载特定 DLL 的合法应用程序。这意味着应用程序将让 Windows API 搜索 DLL,而不是使用绝对路径指定要找到 DLL 的确切位置,并且搜索的位置之一将是当前工作目录——目录从中打开可执行文件。
这意味着攻击者可以将这样的可执行文件与一个 DLL 一起放置在一个文件夹中,该 DLL 的名称与应用程序已知要查找的名称相似,他们的流氓 DLL 将被加载到内存中。由于加载是由可能经过数字签名且已知不是恶意的合法可执行文件完成的,因此某些安全解决方案可能不会标记 DLL。
如果用户怀疑,他们可能会使用 VirusTotal 之类的服务而不是随附的 DLL 来扫描干净的 .exe 文件,尤其是因为它具有隐藏属性,甚至可能不会出现在文件资源管理器中。
在一个攻击变体中,研究人员发现攻击者滥用了 WDSyncService.exe,这是一个可执行文件,是 WD Sync 的一部分,WD Sync 是存储设备制造商 Western Digital 开发的应用程序。
在另一个例子中,他们使用了 ElevatedInstaller.exe,这是一个由技术公司 Garmin 开发的应用程序。这两个应用程序都存在 DLL 侧载漏洞并尝试分别加载名为 WDSync.dll 和 vcruntime140.dll 的 DLL。
感染链导致 SYS01stealer
恶意 DLL 是一种恶意软件加载程序,可执行其他隐藏的可执行文件或从隐藏在同一 ZIP 存档中的 .dat 或 .txt 文件中提取它们。这些文件使用不同的编程语言(如 Rust 或 Python)创建,用于设置计划任务、下载诱饵文件并将其显示给受害者或提示诱饵错误。
最终的有效负载也是从命令和控制 (C&C) 服务器下载的,并且始终是使用 Inno-Setup 创建的安装程序,该安装程序部署了研究人员称为 SYS01stealer 的木马程序。
这个恶意程序是用 PHP 编写的,PHP 通常是一种网络脚本语言,因此它需要运行 PHP 运行时 (php.exe)。PHP 运行时包含在安装程序中,执行的命令是 php.exe include.php。
include.php是负责部署持久化定时任务的脚本,加载index.php,里面包含盗号逻辑。该软件包还包括一个名为 rhc.exe 的文件,用于隐藏已启动程序的窗口和一个 Rust 可执行文件(有时名为 rss.txt),其目的是解密基于 Chromium 的浏览器用于保护敏感站点数据的加密密钥,例如会话 cookie。
SYS01stealer 脚本联系命令和控制服务器并发送有关受害者的识别信息。C&C 服务器响应脚本任务。一项名为 get_ck_all 的任务用于从系统上安装的所有基于 Chromium 的浏览器中提取所有 cookie 和登录数据。
攻击还检查用户是否登录了 Facebook 帐户。它通过检查 cookie 主机名是否包含 facebook.com 并收集分别存储用户 ID 和会话秘密的会话特定 cookie xs 和 c_user 来实现此目的。
提取的信息然后用于查询 Facebook 的图形 API 并提取有关受害者帐户的所有可用信息,然后将其上传回 C&C 服务器。
另一个实现的任务是 dlAR,它代表下载和运行。顾名思义,脚本将从给定的 URL 下载文件并使用指定的参数在系统上执行它。
攻击者似乎是通过下载也使用 DLL 旁加载的更新加载程序来使用它来更新窃取程序,这次是通过滥用 Western Digital WD Discovery 应用程序和恶意 WDLocal.dll。
其他实现的任务称为upload,用于将指定的本地文件上传回C&C,以及r,用于通过Windows命令行提示符执行指定的命令并将结果发布到服务器。
帮助防止 SYS01stealer 的基本步骤包括实施零信任政策并限制用户下载和安装程序的权利。
而 SYS01stealer 在本质上依赖于社会工程活动,因此培训用户很重要关于对手使用的技巧,以便他们知道如何发现它们。
