攻擊活動使用基于PHP的信息竊取軟件攻擊Facebook商業(yè)帳戶

布加迪
惡意DLL是一種惡意軟件加載器,可以執(zhí)行其他隱藏的可執(zhí)行文件,或從隱藏在同一ZIP壓縮包中的.dat或.txt文件提取它們。這些文件使用不同的編程語言(比如Rust或Python)創(chuàng)建,用于設(shè)置計(jì)劃任務(wù)、下載誘餌文件,并將它們顯示給受害者或提示誘餌錯(cuò)誤。

360截圖16251112669372.png

本文來自嘶吼網(wǎng),作者/布加迪。

這伙威脅分子使用惡意軟件攻擊關(guān)鍵政府基礎(chǔ)設(shè)施員工、制造公司及其他行業(yè)。

在過去的一年里,一伙攻擊者通過惡意谷歌廣告或虛假的Facebook個(gè)人簡檔傳播竊取信息的惡意軟件,從而攻擊Facebook商業(yè)帳戶。感染鏈通過合法應(yīng)用程序使用DLL側(cè)加載手段,還使用用各種編程語言(比如Rust、Python和PHP)編寫的獨(dú)立可執(zhí)行文件。

安全公司Morphisec的研究人員在一份新報(bào)告中稱:“我們已經(jīng)看到SYS01stealer攻擊關(guān)鍵政府基礎(chǔ)設(shè)施員工、制造公司及其他行業(yè)。這起活動背后的威脅分子使用谷歌廣告和虛假的Facebook個(gè)人簡檔來攻擊Facebook商業(yè)帳戶,這些廣告或虛假簡檔大力宣傳游戲、成人內(nèi)容和破解版軟件之類的內(nèi)容,以引誘受害者下載惡意文件。攻擊旨在竊取敏感信息,包括登錄數(shù)據(jù)、cookie以及Facebook廣告和商業(yè)帳戶信息。”

Zscaler的研究人員過去也報(bào)告過這起活動,他們將其歸因于DUCKTAIL,這個(gè)總部位于越南的黑客組織同樣專門從事滲入Facebook商業(yè)帳戶的活動。然而,Morphisec研究人員認(rèn)為這起活動并不歸因于DUCKTAIL。自2021年以來一直很活躍的DUCKTAIL攻擊似乎更具針對性和復(fù)雜性,最終目的是濫用與被劫持帳戶相關(guān)的支付方法,從而在平臺上投放廣告。

DLL側(cè)加載變體

Morphisec研究人員跟蹤并分析了可以追溯到2022年5月的幾起SYS01stealer攻擊,發(fā)現(xiàn)逐漸出現(xiàn)了不同的變體。無論是通過Facebook個(gè)人簡檔來分發(fā)還是通過惡意廣告來分發(fā),幾乎所有攻擊都離不開一個(gè)以游戲、電影、破解版應(yīng)用程序甚至裸照為幌子的ZIP文件。該文件通常含有作為合法應(yīng)用程序一部分的可執(zhí)行文件以及將在該可執(zhí)行文件運(yùn)行后加載的惡意DLL。

這種技術(shù)名為DLL側(cè)加載或DLL劫持,會影響配置成使用相對路徑加載特定DLL的合法應(yīng)用程序。這意味著應(yīng)用程序?qū)⒆學(xué)indows API可以搜索DLL,而不是使用絕對路徑指定DLL所在的確切位置,而搜索的位置之一將是當(dāng)前工作目錄,即打開可執(zhí)行文件所在的目錄。

這意味著攻擊者可以將這種可執(zhí)行文件與一個(gè)DLL一起放置在一個(gè)文件夾中——該DLL的名稱與應(yīng)用程序要查找的DLL相似,它們的流氓DLL將被加載到內(nèi)存中。由于加載由可能經(jīng)過數(shù)字簽名、已知不是惡意的合法可執(zhí)行文件完成,一些安全解決方案可能不會標(biāo)記DLL。

如果用戶起疑心,他們可能會使用VirusTotal之類的服務(wù)掃描干凈的.exe文件,而不是掃描隨附的DLL,尤其是由于它具有隱藏屬性,甚至可能不會出現(xiàn)在文件資源管理器中。

在一個(gè)攻擊變體中,研究人員發(fā)現(xiàn)了攻擊者濫用WDSyncService.exe,這個(gè)可執(zhí)行文件是存儲設(shè)備制造商西部數(shù)據(jù)開發(fā)的應(yīng)用程序WD Sync的一部分。在另一個(gè)變體中,攻擊者使用了ElevatedInstaller.exe,這是技術(shù)公司佳明(Garmin)開發(fā)的應(yīng)用程序。這兩個(gè)應(yīng)用程序都存在DLL側(cè)加載漏洞,企圖分別加載名為WDSync.dll和vcruntime140.dll的DLL。

感染鏈導(dǎo)致SYS01stealer

惡意DLL是一種惡意軟件加載器,可以執(zhí)行其他隱藏的可執(zhí)行文件,或從隱藏在同一ZIP壓縮包中的.dat或.txt文件提取它們。這些文件使用不同的編程語言(比如Rust或Python)創(chuàng)建,用于設(shè)置計(jì)劃任務(wù)、下載誘餌文件,并將它們顯示給受害者或提示誘餌錯(cuò)誤。

最終的攻擊載荷也從指揮和控制(C&C)服務(wù)器下載,它始終是使用Inno-Setup創(chuàng)建的安裝程序,部署研究人員稱為SYS01stealer的木馬程序。這個(gè)惡意程序用PHP編寫,而PHP通常是一種Web腳本語言,因此它需要執(zhí)行PHP運(yùn)行時(shí)環(huán)境(php.exe)。PHP運(yùn)行時(shí)環(huán)境包含在安裝程序中,執(zhí)行的命令是php.exe include.php。

include.php是負(fù)責(zé)部署計(jì)劃任務(wù)以實(shí)現(xiàn)持久隱藏的腳本,加載index.php,里面含有竊取帳戶的邏輯代碼。該軟件包還含有一個(gè)名為rhc.exe的文件,用于隱藏已啟動程序的窗口和一個(gè)Rust可執(zhí)行文件(有時(shí)名為rss.txt),后者的目的是解密基于Chromium的瀏覽器用于保護(hù)會話cookie等敏感網(wǎng)站數(shù)據(jù)的加密密鑰。

SYS01stealer腳本聯(lián)系指揮和控制服務(wù)器,并發(fā)送有關(guān)受害者的身份識別信息。C&C服務(wù)器響應(yīng)腳本任務(wù)。一項(xiàng)名為get_ck_all的任務(wù)用于從系統(tǒng)上安裝的所有基于Chromium的瀏覽器中提取所有的cookie和登錄數(shù)據(jù)。

研究人員表示,攻擊還檢查用戶是否登錄了Facebook帳戶。為此,它采取的手段是檢查cookie主機(jī)名是否含有facebook.com,并收集分別存儲用戶ID和會話秘密的會話特定cookie:xs和c_user。

提取的信息然后用于查詢Facebook的圖形API,并提取有關(guān)受害者帳戶的所有可用信息,然后將信息上傳回C&C服務(wù)器。

另一個(gè)實(shí)現(xiàn)的任務(wù)是dlAR,它代表下載和運(yùn)行。顧名思義,該腳本將從特定的URL下載文件,并使用指定的參數(shù)在系統(tǒng)上執(zhí)行。攻擊者似乎通過下載同樣使用DLL側(cè)加載的更新版加載器來使用該任務(wù)以更新竊取程序,這回是通過濫用西部數(shù)據(jù)WD Discovery應(yīng)用程序以及惡意WDLocal.dll。

其他實(shí)現(xiàn)的任務(wù)名為upload和r,前者用于將指定的本地文件上傳回C&C,后者用于通過Windows命令行提示符執(zhí)行指定的命令,并將結(jié)果發(fā)布到服務(wù)器。

Morphisec的研究人員表示,有助于防止SYS01stealer的基本措施包括實(shí)施零信任政策,并限制用戶下載和安裝程序的權(quán)限。而SYS01stealer在本質(zhì)上依賴采用社會工程伎倆的活動,因此培訓(xùn)用戶了解攻擊者使用的技巧以便知道如何識破技巧就顯得很重要。

本文翻譯自:https://www.csoonline.com/article/3689891/attack-campaign-uses-php-based-infostealer-to-target-facebook-business-accounts.html

THEEND

最新評論(評論僅代表用戶觀點(diǎn))

更多
暫無評論