SYS01 (также известный как «Album Stealer» или «S1deload Stealer») - относительно неизвестный похититель, существующий по меньшей мере с 2022 года. Он был описан компаниями Bitdefender, Zscaler и Morphisec. В их отчетах можно проследить его эволюцию от кражи на C# до кражи на PHP. Когда Kaspersky Lab начали изучать эту кампанию, заметили комбинацию этих двух видов, полезной нагрузки C# и PHP.
Одна вещь, которая не изменилась, - это вектор заражения. Пользователей по-прежнему обманом заставляют загрузить вредоносный ZIP-архив, замаскированный под видео для взрослых, через страницу в Facebook:
Архив содержит легитимный двоичный файл - в данном случае WdSyncservice.exe, переименованный в PlayVideoFull.exe, - который загружает вредоносную DLL с именем WDSync.dll. DLL открывает видео на взрослую тематику и выполняет следующую полезную нагрузку, которая представляет собой вредоносный PHP-файл, закодированный с помощью ionCube.
Выполненный PHP-файл вызывает скрипт install.bat, который в итоге запускает следующий этап, выполняя команду PowerShell. Этот слой имеет удобное название runalayer и запускает, как кажется, конечную полезную нагрузку под названием Newb.
Однако между последней версией кражи и предыдущими публично раскрытыми версиями есть разница, которая заключается в разделении функциональности. Кража в ее нынешнем виде (Newb) содержит функциональность для кражи данных, связанных с Facebook, и для отправки украденных данных браузера, расположенных и организованных в определенной структуре каталогов, в C2.
Но код, который на самом деле собирает данные браузера, которые Newb отправляет в C2, был найден в другом образце под названием imageclass.
В исходном ZIP-архиве также содержится еще один вредоносный PHP-файл: include.php. Этот файл имеет схожую с Newb функциональность бэкдора и принимает многие из тех же команд в том же формате.
Жертвы этой кампании были найдены по всему миру, но большинство из них находились в Алжире (чуть более 15 %). Скорее всего, это связано с вектором заражения, поскольку он может быть сильно локализован. Мы также заметили, что авторы вредоносного ПО отдают предпочтение ДВУ .top.
Indicators of Compromise
MD5
- 21df3a69540c6618cfbdaf84fc71031c
- 23ae473bc44fa49b1b221150e0166199
- 6e2b16cc41de627eb7ddcd468a037761
SHA1
- 18df1ca8e6551d8a280b28d44d737c9e9279bdd7
- 70565be6172fd0c6f914e86ca77bd74de1592b80
- b22362a52d6c4ec9faf01fe122d576802202952f
SHA256
- 73bd715184ebf17fc0ff19d98d070d7d72f4ca8164c8fa2eef462d8d8d20d100
- 74dd00bc6672e3a03f457a090b88e9402dfc2b4725567fdbac040e58f8dd1d32
- c53d48985646e412d92e2c86b400082d19dd023d351417f9fa49182e27724c78
