Home » Blog » Le voleur SYS01 cible les comptes professionnels Facebook et les informations d’identification du navigateur

Le voleur SYS01 cible les comptes professionnels Facebook et les informations d’identification du navigateur

Cybersecurity concept identity theft, Database hacks, internet cyber crime. hacker attack, Hacking and stealing data. damage the system and hack the data.


La chaîne d’infection SYS01 utilise le chargement latéral de DLL pour voler des informations. Découvrez comment protéger votre entreprise contre cette menace de cybersécurité.

Image : SomYuZu/Adobe Stock

Morphisec, un fournisseur de solutions de sécurité basé en Israël, a signalé qu’un voleur d’informations avancé le malware baptisé SYS01 vise à voler l’accès aux comptes professionnels Facebook et aux informations d’identification des navigateurs basés sur Chromium. Le chercheur de Morphisec a également vu le logiciel malveillant SYS01 attaquer des employés d’infrastructures gouvernementales critiques, des entreprises manufacturières et d’autres industries.

Cette attaque de malware est similaire à une autre campagne baptisée Voleur S1deload par Bitdefender, mais la charge utile finale n’est pas la même, laissant ouverte la question de savoir qui est derrière la campagne d’attaque de vol SYS01.

Sauter à:

Chaîne d’infection SYS01

L’attaque du logiciel malveillant SYS01 commence par inciter une victime à cliquer sur une URL à partir d’un faux profil Facebook, d’une publicité ou d’un lien vers des flux en direct, des applications gratuites, des films ou des jeux. Lorsque l’utilisateur clique sur le leurre, le téléchargement d’un fichier d’archive ZIP démarre.

Le fichier ZIP contient une partie chargeur et une charge utile finale. La partie chargeur consiste en une application légitime qui est vulnérable au chargement latéral de DLL. Une fois que la victime exécute le fichier légitime, elle charge silencieusement une première charge utile contenue dans un fichier DLL contenu dans le même dossier que l’application légitime.

Comme mentionné par le chercheur de Morphisec Arnold Osipov, le chargeur peut être n’importe quel type de fichier exécutable, tel que les exécutables Rust et Python. Pourtant, le comportement est toujours le même à l’exécution : il exécute le code d’un fichier DLL illicite contenu dans le fichier ZIP.

La DLL malveillante exécute à son tour un programme d’installation Inno-Setup qui décompresse et supprime le code PHP responsable du vol et de l’exfiltration d’informations (Figure A).

Figure A

Chaîne d'infection pour l'attaque SYS01.
Image : Morphisec. Chaîne d’infection pour l’attaque SYS01.

Différents scénarios peuvent se produire avec la partie chargeur. Pour commencer, le fichier ZIP peut contenir la charge utile de deuxième étape nécessaire. S’il ne se trouve pas dans le fichier ZIP, la charge utile de la deuxième étape est probablement téléchargée à partir d’un serveur C2 contrôlé par l’attaquant avant d’être décodée et exécutée.

Voleur d’informations SYS01

Une fois le chargeur exécuté avec succès, le programme d’installation Inno-Setup est exécuté. Le programme d’installation dépose une application PHP avec des fichiers supplémentaires :

  • Index.php est en charge des principales fonctionnalités des logiciels malveillants.
  • Inclure.php établit la persistance des logiciels malveillants via des tâches planifiées ; c’est le fichier exécuté par l’installateur.
  • Version.php contient la version du logiciel malveillant.
  • Rhc.exe masque la fenêtre de la console des programmes démarrés, permettant au logiciel malveillant d’être plus discret en n’affichant pas de fenêtres spécifiques à l’utilisateur actuellement connecté.
  • Rss.txt est un fichier encodé en base64, qui contient un fichier exécutable écrit en Rust. L’exécutable obtient la date et l’heure actuelles et décrypte les clés de cryptage des navigateurs basés sur Chromium. La date et l’heure sont récupérées par le logiciel malveillant pour savoir quand établir la persistance dans les tâches planifiées.

Comme l’a noté Osipov, les anciens fichiers PHP n’étaient pas masqués, mais les nouvelles versions du logiciel malveillant ont été encodées à l’aide des outils commerciaux ionCube et Zephir.

Une fois que le malware s’exécute, il met en place un tableau de configuration contenant diverses informations, dont une liste de serveurs C2 choisis au hasard et utilisés à chaque exécution du malware. Le malware est également capable de télécharger et d’exécuter des fichiers et des commandes, en plus de pouvoir se mettre à jour.

SYS01 vole des données particulières

Le voleur SYS01 est capable d’obtenir tous les cookies et informations d’identification des navigateurs basés sur Chromium.

Le logiciel malveillant vérifie si l’utilisateur possède un compte Facebook. Si l’utilisateur est connecté à ce compte, le logiciel malveillant interroge l’interface de programmation de l’application graphique de Facebook pour obtenir un jeton et vole toutes les informations Facebook de la victime. Toutes les informations volées sont exfiltrées vers un serveur C2.

Comment se protéger de la menace de malware SYS01

Le chargement latéral de DLL est possible en raison de la Ordre de recherche DLL implémenté dans Microsoft Windows. Certains développeurs ont ce problème à l’esprit lors de la programmation de leur logiciel et créent du code qui n’est spécifiquement pas vulnérable à cette technique.

Cependant, Morphisec a noté que la plupart des programmeurs n’ont pas la sécurité à l’esprit lors du développement, les entreprises doivent donc ajouter plus de protection contre cette technique :

  • Définissez les privilèges des utilisateurs afin qu’ils ne puissent pas installer de logiciels tiers susceptibles d’exploiter le chargement latéral de DLL.
  • Surveillez les signes avant-coureurs du chargement latéral de DLL. Les fichiers DLL non signés utilisés par les exécutables signés doivent déclencher de tels avertissements, ainsi que des chemins de chargement suspects.
  • Utilisez des outils de sécurité tels que DLLSpy ou Chasseur de fonctionnalités Windows pour essayer de détecter le chargement latéral de DLL. Des ressources telles que Hijack.Libs peut également être utile, car il répertorie de nombreuses applications vulnérables au chargement latéral de DLL.
  • Maintenez les systèmes d’exploitation et tous les logiciels à jour et corrigés afin d’éviter d’être compromis par une vulnérabilité commune.
  • Formez les employés à détecter les astuces courantes d’ingénierie sociale et à être conscients des risques liés au téléchargement de contenu tiers sur Internet, en particulier les logiciels piratés qui contiennent souvent des chargeurs de logiciels malveillants.

Lire ensuite : Politique de sensibilisation et de formation à la sécurité (TechRepublic Premium)

Divulgation: Je travaille pour Trend Micro, mais les opinions exprimées dans cet article sont les miennes.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Postes connexes

Récupérer un compte snapchat

Comment récupérer un compte Snap ?

comment supprimer votre compte facebook

Comment supprimer son compte Facebook définitivement ?

comment supprimer un compte snapchat

Comment supprimer votre compte Snapchat ?