นักวิจัยด้านความปลอดภัยพบมัลแวร์ขโมยข้อมูลตัวใหม่ที่ชื่อว่า SYS01stealer ซึ่งมีเป้าหมายไปยังพนักงานขององค์กรด้านโครงสร้างพื้นฐานที่สำคัญของรัฐบาล, บริษัทในภาคการผลิต และบริษัทในภาคส่วนอื่น ๆ
Morphisec รายงานว่า ผู้โจมตีที่อยู่เบื้องหลังแคมเปญนี้จะมุ่งเป้าไปที่ Business accounts บน Facebook โดยการใช้ Google ads และโปรไฟล์ Facebook ปลอม ที่โปรโมตสิ่งต่าง ๆ เช่น เกมส์, เนื้อหาสำหรับผู้ใหญ่, และซอร์ฟแวร์ละเมิดลิขสิทธิ์ เพื่อหลอกล่อเหยื่อให้ดาวน์โหลดไฟล์ที่เป็นอันตราย
การโจมตีนี้ถูกออกแบบมาเพื่อขโมยข้อมูลที่สำคัญ เช่น ข้อมูลการเข้าสู่ระบบ, คุกกี้, ข้อมูลของ Facebook ad และข้อมูลบัญชีธุรกิจ
โดย Morphisec ระบุว่า แคมเปญนี้เริ่มต้นจากการดำเนินการของกลุ่มผู้โจมตีที่มีแรงจูงใจทางด้านการเงินที่ชื่อว่า Ducktail
WithSecure เคยรายงานปฏิบัติการของกลุ่ม Ducktail เป็นครั้งแรกในเดือนกรกฎาคม พ.ศ. 2565 ได้ระบุว่า ข้อมูลที่ได้จากการวิเคราะห์การโจมตีทั้ง 2 ครั้งของ Ducktail มีความแตกต่างกัน แสดงให้เห็นว่าผู้โจมตีพยายามสร้างความสับสนให้กับนักวิจัยในความพยายามสำหรับการระบุแหล่งที่มา รวมไปถึงความพยายามในการหลบเลี่ยงการตรวจจับ
โดยรายงานจาก Morphisec ระบุว่า การโจมตีเริ่มต้นด้วยการหลอกล่อให้เหยื่อคลิก URL จากโปรไฟล์ หรือโฆษณาบน Facebook เพื่อดาวน์โหลดไฟล์ ZIP ที่อ้างว่าเป็นซอฟต์แวร์ละเมิดลิขสิทธิ์ หรือเนื้อหาสำหรับผู้ใหญ่
การเปิดไฟล์ ZIP จะมีการเรียกใช้งานแอปที่ดูถูกต้องตามปกติ แต่จะใช้วิธีการ DLL side-loading ทำให้สามารถโหลดไฟล์ DLL ที่เป็นอันตรายควบคู่ไปกับแอปปกติได้
แอปพลิเคชันบางตัวที่ถูกนำมาใช้เพื่อดาวน์โหลด DLL ที่เป็นอันตรายคือ WDSyncService.