近日，Morphisec 的网络安全研究人员发现了一种新的高级信息窃取程序，称为 SYS01 窃取程序，自 2022 年 11 月以来，该程序被用于针对关键政府基础设施员工、制造公司和其他部门的攻击。

专家们发现 SYS01 窃取程序与 Bitdefender 研究人员发现的另一种信息窃取恶意软件（跟踪为 S1deload）之间存在相似之处。“我们已经看到 SYS01 窃取者攻击关键的政府基础设施员工、制造公司和其他行业。该活动背后的威胁行为者通过使用谷歌广告和虚假的 Facebook 个人资料来瞄准 Facebook 商业账户，这些账户宣传游戏、成人内容和破解软件等内容，以引诱受害者下载恶意文件。该攻击旨在窃取敏感信息，包括登录数据、cookie 以及 Facebook 广告和企业帐户信息。”

专家报告说，该活动于2022年5月首次被发现，Zscaler 研究人员将其与Zscaler 的Ducktail 行动联系起来 。2022 年 7 月，WithSecure（前身为 F-Secure Business）的研究人员首次分析了DUCKTAIL 活动，该活动针对在 Facebook 的商业和广告平台上运营的个人和组织。

攻击链首先引诱受害者点击虚假 Facebook 个人资料或广告中的 URL，以下载假装有破解软件、游戏、电影等的 ZIP 文件。 

打开 ZIP 文件后，将执行加载程序（通常采用合法 C# 应用程序的形式）。该应用程序容易受到 DLL side-loading的攻击，这是一种用于在调用合法应用程序时加载恶意 DLL 的技术。

专家观察到威胁行为者滥用合法应用程序 Western Digital 的 WDSyncService.exe 和 Garmin 的 ElevatedInstaller.exe 来旁加载恶意负载。

最后一个阶段的恶意软件是基于 PHP 的 SYS01stealer 恶意软件，它能够窃取浏览器 cookie 并滥用经过身份验证的 Facebook 会话来窃取受害者 Facebook 帐户中的信息。

最终目标是劫持受害者管理的 Facebook 商业账户。

为了从受害者那里窃取 Facebook 会话 cookie，恶意软件会扫描机器以查找流行的浏览器，包括 Google Chrome、Microsoft Edge、Brave Browser 和 Firefox。对于它找到的每个浏览器，它都会提取所有存储的 cookie，包括任何 Facebook 会话 cookie。

该恶意软件还从受害者的个人 Facebook 帐户中窃取信息，包括姓名、电子邮件地址、出生日期和用户 ID，以及其他数据，例如 2FA 代码、用户代理、IP 地址和地理位置

该恶意软件还能够将文件从受感染的系统上传到 C2 服务器，并执行 C&C 发送的命令。恶意代码还支持更新机制。

“帮助防止 SYS01 窃取者的基本步骤包括实施零信任政策和限制用户下载和安装程序的权利。SYS01 窃取者本质上依赖于社会工程活动，因此培训用户了解对手使用的技巧非常重要，这样他们就知道如何发现他们。” Morphisec 总结道，它还提供了妥协指标 (IoC)。