Nuevo malware SYS01 roba acceso a cuentas de Facebook y credenciales de navegadores Chromium

Morphisec, un proveedor de soluciones de seguridad con sede en Israel, ha informado que ha detectado un malware avanzado de robo de información llamado SYS01 que tiene como objetivo robar acceso a cuentas comerciales de Facebook y credenciales de navegadores basados en Chromium. El investigador de Morphisec también ha observado que el malware SYS01 ataca a empleados de infraestructuras críticas del gobierno, empresas de manufactura y otras industrias.

Nuevo malware SYS01 roba acceso a cuentas de Facebook y credenciales de navegadores Chromium - Seguridad | Imagen 1 Newsmatic

Este ataque de malware es similar a otra campaña llamada S1deload Stealer por Bitdefender, sin embargo, la carga final no es la misma, dejando la pregunta abierta sobre quién está detrás de la campaña de ataque del ladrón SYS01.

Índice de Contenido
  1. Cadena de infección de SYS01
  2. Ladrón de información SYS01
  3. SYS01 roba datos específicos
  4. Cómo protegerse de la amenaza del malware SYS01

Cadena de infección de SYS01

El ataque del malware SYS01 comienza atrayendo a la víctima a hacer clic en una URL desde un perfil falso de Facebook, anuncio o enlace a transmisiones en vivo, aplicaciones gratuitas, películas o juegos. Cuando el usuario hace clic en el engaño, comienza la descarga de un archivo de archivo ZIP.

El archivo ZIP contiene una parte del cargador y una carga final. La parte del cargador consiste en una aplicación legítima que es vulnerable a la carga paralela de DLL. Una vez que la víctima ejecuta el archivo legítimo, carga silenciosamente una primera carga útil contenida en un archivo DLL contenido en la misma carpeta que la aplicación legítima.

Como mencionó el investigador de Morphisec, Arnold Osipov, el cargador puede ser cualquier tipo de archivo ejecutable, como archivos ejecutables de Rust y Python. Sin embargo, el comportamiento es siempre el mismo cuando se ejecuta: ejecuta el código de un archivo DLL malicioso contenido en el archivo ZIP.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

El DLL malicioso a su vez ejecuta un instalador Inno-Setup que descomprime y deja caer código PHP responsable de robar y filtrar información (Figura A).

Figura A

Nuevo malware SYS01 roba acceso a cuentas de Facebook y credenciales de navegadores Chromium - Seguridad | Imagen 2 Newsmatic

Pueden ocurrir diferentes escenarios con la parte del cargador. Para empezar, el archivo ZIP puede contener la segunda carga útil necesaria. Si no está en el archivo ZIP, es probable que la segunda carga útil se esté descargando de un servidor C2 controlado por los atacantes antes de ser decodificado y ejecutado.

Ladrón de información SYS01

Después de que el cargador se ejecute correctamente, se ejecuta el instalador Inno-Setup. El instalador deja caer una aplicación PHP con archivos adicionales:

  • Index.php se encarga de las principales funcionalidades del malware.
  • Include.php establece la persistencia del malware a través de tareas programadas; es el archivo ejecutado por el instalador.
  • Version.php contiene la versión del malware.
  • Rhc.exe oculta la ventana de consola de los programas iniciados, lo que permite que el malware sea más sigiloso al no mostrar ventanas específicas al usuario que ha iniciado sesión actualmente.
  • Rss.txt es un archivo codificado en base64, que contiene un archivo ejecutable escrito en Rust. El ejecutable obtiene la fecha y hora actuales y desencripta las claves de encriptación de los navegadores basados en Chromium. El malware obtiene la fecha y hora para saber cuándo establecer la persistencia en las tareas programadas.

Como señaló Osipov, los archivos PHP antiguos no estaban ofuscados, sin embargo, las versiones más recientes del malware han sido codificadas utilizando herramientas comerciales como ionCube y Zephir.

Cómo proteger tu computadora de los virus: métodos y consejos

Una vez que el malware está en funcionamiento, configura una matriz de configuración que contiene varias informaciones, incluida una lista de servidores C2 elegidos al azar y utilizados en cada ejecución del malware. Además, el malware es capaz de descargar y ejecutar archivos y comandos, además de poder actualizarse a sí mismo.

SYS01 roba datos específicos

SYS01 Stealer es capaz de obtener todas las cookies y credenciales de los navegadores basados en Chromium.

El malware verifica si el usuario tiene una cuenta de Facebook. Si el usuario ha iniciado sesión en esa cuenta, el malware consulta la interfaz de programación de aplicaciones de gráficos de Facebook para obtener un token y robar toda la información de Facebook de la víctima. Toda la información robada se filtra a un servidor C2.

Cómo protegerse de la amenaza del malware SYS01

La carga paralela de DLL es posible debido al orden de búsqueda de DLL implementado en Microsoft Windows. Algunos desarrolladores tienen este problema en mente al programar su software y crean código específicamente no vulnerable a esta técnica.

Sin embargo, Morphisec señaló que la mayoría de los programadores no tienen en mente la seguridad al desarrollar, por lo que las empresas deben agregar más protección contra esa técnica:

  • Establecer los privilegios de los usuarios para que no puedan instalar software de terceros que pueda explotar la carga paralela de DLL.
  • Mantenerse atento a las señales de advertencia de carga paralela de DLL. Los archivos DLL no firmados utilizados por ejecutables firmados deben generar dichas advertencias, al igual que las rutas de carga sospechosas.
  • Utilizar herramientas de seguridad como DLLSpy o Windows Features Hunter para intentar detectar la carga paralela de DLL. Recursos como Hijack.Libs también pueden ser útiles, ya que enumeran muchas aplicaciones vulnerables a la carga paralela de DLL.
  • Mantener actualizados y parcheados los sistemas operativos y todo el software para evitar ser comprometido por una vulnerabilidad común.
  • Capacitar a los empleados para detectar trucos comunes de ingeniería social y que sean conscientes de los riesgos de descargar contenido de terceros desde Internet, especialmente software pirateado que a menudo contiene cargadores de malware.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Nuevo malware SYS01 roba acceso a cuentas de Facebook y credenciales de navegadores Chromium , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.