سرقت اطلاعاتی که به عنوان SYS01 شناخته می شود ، از نوامبر 2022 توسط بازیگران تهدید استفاده شده است تا از جمله سیستم های مهم کارمندان زیرساخت های دولتی و شرکت های تولیدی را آلوده کند.
کمپین جدید که توسط محققان امنیتی در مورفیسک مشاهده شد ، حساب های تجاری فیس بوک را با تبلیغات Google و پروفایل های جعلی فیس بوک تبلیغ می کند که بازی ها ، محتوای بزرگسالان و نرم افزارهای ترک خورده را تبلیغ می کند. سپس فریب منجر به بارگیری لینک مخرب شد.
آرنولد اوسیپوف ، محقق بدافزار مورفیسک در مشاوره روز سه شنبه نوشت: “این حمله به منظور سرقت اطلاعات حساس ، از جمله داده های ورود به سیستم ، کوکی ها ، و اطلاعات مربوط به حساب کاربری در فیس بوک طراحی شده است.”
وی گفت: “این کمپین برای اولین بار در ماه مه 2022 مشاهده شد و در ابتدا توسط Zscaler به عملیات Ducktail نسبت داده شد. این انتساب بعداً نادرست کشف شد. ”
مایک پارکین ، مهندس ارشد فنی در Vulcan Cyber ، با تجزیه و تحلیل Osipov موافقت کرد ، و افزود که تحقیقات جدید مورفیسک نشان می دهد که بازیگر تهدید هنوز فعال است و توسعه بدافزار آنها در حال انجام است.
پاركین افزود: “آنها همچنین به بدافزارهای جداگانه اما ظاهراً مرتبط با آن كه توسط تیم تحقیقاتی دیگری کشف شده است ، اشاره می كنند.” “به طور کلی ، این نشان می دهد که چگونه بازیگران تهدید ابزارهای خود را تکامل می بخشند و به مرور زمان روی اهداف خاص تمرکز می کنند. و اینکه وقتی بدافزارها و گروههایی که از آن استفاده می کنند دائماً در جریان هستند ، چقدر چالش برانگیز است که به طور محکم سویه های بدافزار خاص را به گروه های خاص نسبت دهد. ”
حملات مشاهده شده توسط Morphisec ، سرقت SYS01 به روش های مختلفی از جمله بارگیری جانبی DLL ، و از طریق اجراهای زنگ زدگی و پایتون تحویل داده شده است.
به گفته جان آنتونی اسمیت ، مدیرعامل گروه Conversant ، این کمپین نشان می دهد که چگونه بازیگران تهدید به طور فزاینده ای از محتوای تبلیغاتی استفاده می کنند تا کاربران را به کلیک بر روی پیوندهای مخرب بپردازند.
“به نظر ما SYS01 ادامه تکنیک های مشابه است که توسط گروه های دیگر استفاده می شود. هر بستر پیام رسانی که به کاربر اجازه می دهد تا روی لینک ها یا پیوست های غیرقابل انتخاب کلیک کند ، باید مسدود شود. ”
“تبلیغات ، سیستم عامل های شبکه های اجتماعی ، برنامه های گپ/خدمات گپ و […] کلیه سیستم عامل هایی که امکان برقراری ارتباط خارج از روش های تحریم شده شرکت را فراهم می کنند باید مسدود شوند.”
یک کمپین مشابه توسط بازیگران فوق الذکر Ducktail Threat توسط تیم WithSecure مورد توجه قرار گرفت و در نوامبر 2022 فاش شد
