Socelars
Socelars je nový trojský kmen, který se stal infocentrem a u kterého odborníci na infosec zjistili, že na něj číhá ve volné přírodě. Hlavním cílem hrozby je shromažďovat soubory cookie relace a další citlivá data z Facebooku a Amazonu. Přestože se některé charakteristiky a aspekty jeho chování zdají podobné jiným hrozbám zlodějů informací, jako jsou AdKoob a Stresspaint , jejichž hlavním cílem byl také Facebook, podle výzkumníka v oblasti kybernetické bezpečnosti Vitaliho Kremeze, který analyzoval základní kód, Socelars není varianta kteréhokoli z nich. Místo toho je nejpravděpodobnější domněnka, že tvůrci Socelars byli silně inspirováni ostatními trojskými koňmi.
Obsah
Hlavním cílem Socelars je správce reklam na Facebooku
Jakmile je schopen úspěšně proniknout do cílového počítače, začne Trojan Socelars provádět škodlivé programování. Prvním krokem je přístup k databázi Cookies SQLite, která mu umožní shromažďovat soubory cookie z prohlížeče Chrome i Firefox. S příslušnými cookies v ruce Socelars přejde k dalšímu kroku - připojení k různým URL URL Facebooku, ze kterých budou načteny další informace. Dotčené adresy URL jsou:
- https://www.facebook.com/bookmarks/pages?ref_type=logout_gear
- https://secure.facebook.com/settings
- https://secure.facebook.com/advertisements/manager/account_settings/account_billing/
Třetí adresa URL - account_billing, obsahuje údaje, jako je account_token uživatele a account_ID. Vybaveni těmito informacemi, Socalers poté shromáždí data z nastavení Správce reklam využitím volání rozhraní Facebook Graph API.
Všechny shromážděné informace, které zahrnují údaje o kreditní / debetní kartě, e-mail PayPal, soubory cookie, ID účtu, tokeny účtu, e-mailové adresy, limity výdajů atd., Budou zkomprimovány a přeneseny do systému Command-and-Control (C&C, C2) infrastruktura, která byla nastavena hackery.
Sekundárním cílem Socelars je Amazon
Ve srovnání s hrozivou aktivitou věnovanou Správci reklam na Facebooku se funkce zaměřená na cílení na Amazon jeví jako výrazně zkrácená. Přesto je Socelars schopen shromažďovat relační cookies Amazon.com a Amazon.co.uk. Namísto využití získaných dat k těžbě dalších informací však Socelars jednoduše odešle soubory cookie na servery C&C. Pamatujte však, že přístup k souborům cookie Amazon by hackerům umožnil přihlásit se jako ohrožený uživatel.
Sokoli mohou být šířeny aplikacemi Adware
Trojský kůň Socelars se maskuje jako falešná čtečka PDF a editační program s názvem „PDFreader". Bylo pozorováno, že falešná aplikace byla doručena z několika webových stránek a má své spustitelné soubory podepsané digitálním certifikátem vydaným společností Sectigo RSA Code Signing CA subjektu s názvem „Rakete Content Gmbh".
Jelikož se zdá, že webům připojeným k programu PDFreader chybí odkazy na aktivní stahování, nejpravděpodobnější metodou distribuce trojského koně se zdá být prostřednictvím balíků adwaru. Vědci z výpočetní techniky K7 skutečně uvedli, že rodina adwarů známá jako Linkury začala kromě obvyklých aplikací pro únosce prohlížečů poskytovat také plnohodnotné malware hrozby. Tři zjištěná užitečná zatížení malwaru byla pro trojské koně s informacemi o krádeži - Glupteba , KPOT Stealer a Socelars.
