针对 Facebook 商业账户的高级信息窃取工具

关键要点

恶意黑客近年来通过使用一种高级信息窃取工具，专门针对 Facebook 商业账户，利用 Google 广告 和 假 Facebook 个人资料，宣传游戏、成人内容和破解软件，以吸引受害者下载恶意文件。

在 3 月 7 日的 博客文章 中，Morphisec 的研究人员表示，攻击者的目的是盗取敏感信息，包括登录数据、cookies 以及 Facebook 广告和商业账户信息。这种信息窃取工具已被用于攻击关键政府基础设施员工、制造公司及其他行业。

攻击者诱骗受害者点击来自假 Facebook 资料或广告的 URL，以下载一个声称包含应用程序、游戏或电影的 Zip 文件，实际上则执行几个负责盗取和转移信息的 PHP 脚本。这些脚本使用多种编码技术，使其分析和检测变得更加困难。

信息窃取恶意软件 SYS101 的感染链描绘。 来源：Morphisec

研究还强调了 DLL 旁加载攻击继续作为欺骗 Windows 系统加载恶意代码的有效途径。这一问题可以通过 Microsoft 默认实施 DLL 的搜索顺序来缓解，也可以由开发人员自己实施，但通常情况并非如此。

“Microsoft 不执行搜索顺序，原因多种多样，例如使程序具备可移植性和向后兼容性例如，使用旧版 Microsoft 库的可移植浏览器应用程序。以安全为首要考虑的开发人员可能会在代码中执行搜索顺序，但大多数开发人员并不以安全为重，” Morphisec 研究员阿诺德奥西波夫Arnold Osipov表示。“这使得威胁行为者能够将恶意载荷与合法应用程序并排放置。当应用程序在内存中加载且未执行搜索顺序时，应用程序可能加载恶意文件而非合法文件，从而使威胁行为者能够劫持合法、受信任甚至已签名的应用程序，以加载和执行恶意载荷。”

这种信息窃取恶意软件通常以两个部分传递。首先通过合法应用程序传递，当用户点击恶意链接时执行，但该程序内部带有可用于执行旁加载攻击的恶意动态链接库。该应用程序反过来自动运行安装程序，解压缩一个包含用于盗取和转移数据的 PHP 应用程序的脚本。研究人员还发现，加载程序通过 Rust 和 Python 编写的命令等其他方法传递。

奥西波夫表示，安全团队可以通过限制用户的下载和安装程序权限、实施其他零信任政策以及培训员工避免点击可疑链接来保护自己免受 SYS01 窃贼的攻击。

Deep Instinct 的威胁实验室研究员西蒙肯因Simon Kenin告诉 SC Media，该恶意软件在感染的计算机上持续存在，并与一个命令和控制服务器进行通信，有可能部署其他恶意载荷或勒索软件。他指出，由于恶意软件会不断发展，因此这种信息窃取工具可能会随着时间的推移增加其他功能，威胁更多的企业。

Morphisec 的研究人员自 2022 年 11 月开始跟踪该活动，并将其命名为“SYS01 窃贼”。另一家网络安全公司 Z