Socelars
Socelars er en ny Trojan-stamme, der er opdaget af infosec-eksperter, der lurer i naturen. Hovedmålet med truslen er at indsamle sessionscookies og yderligere følsomme Facebook- og Amazon-data. Selvom visse egenskaber og aspekter af dets adfærd ser ud til at ligne andre trusler mod informationsstjæler som AdKoob og Stresspaint , som også havde Facebook som et primært mål, ifølge cybersikkerhedsforskeren Vitali Kremez, der analyserede den underliggende kode, er Socelars ikke variant af en af dem. I stedet er den mest sandsynlige formodning, at skaberne af Socelars blev stærkt inspireret af de andre trojanere.
Indholdsfortegnelse
Socelars Main Target er Facebook Advertising Manager
Når det er i stand til at infiltrere den målrettede computer med succes, begynder Socelars Trojan at udføre sin skadelige programmering. Det første trin er at få adgang til Cookies SQLite-databasen, som gør det muligt at samle cookies fra både Chrome og Firefox. Med de relevante cookies i hånden fortsætter Socelars til næste trin - opretter forbindelse til forskellige Facebook-URL'er, hvorfra yderligere oplysninger vil blive hentet. De pågældende webadresser er:
- https://www.facebook.com/bookmarks/pages?ref_type=logout_gear
- https://secure.facebook.com/settings
- https://secure.facebook.com/advertisements/manager/account_settings/account_billing/
Den tredje URL - account_billing indeholder data såsom brugerens account_token og account_ID. Udstyret med disse oplysninger vil Socalers derefter indsamle data fra Ads Manager-indstillingerne ved at udnytte et Facebook Graph API-opkald.
Alle de indsamlede oplysninger, der inkluderer kredit- / betalingskortoplysninger, PayPal-e-mail, cookies, konto-id'er, konto-tokens, e-mail-adresser, forbrugsgrænser osv., Komprimeres og overføres til Command-and-Control (C&C, C2) infrastruktur, der er oprettet med hackere.
Socelars Secondary Target er Amazon
Sammenlignet med den truende aktivitet, der er dedikeret til Facebook Advertising Manager, virker funktionaliteten dedikeret til målretning mod Amazon stærkt afkortet. Ikke desto mindre er Socelars i stand til at indsamle Amazon.com og Amazon.co.uk session cookies. I stedet for at udnytte de erhvervede data til at udvinde yderligere information, sender Socelars simpelthen cookies til C & C-serverne. Husk dog, at hvis du har adgang til Amazon-cookies, vil hackere kunne logge ind som den kompromitterede bruger.
Socelars formeres muligvis af Adware-applikationer
Socelars Trojan forklæder sig som en falsk PDF-læser og redigeringsprogram kaldet 'PDFreader.' Den falske ansøgning blev observeret leveret fra flere websteder og har eksekverbare filer underskrevet med et digitalt certifikat udstedt af Sectigo RSA Code Signing CA til en enhed ved navn 'Rakete Content Gmbh.'
Da webstederne, der er forbundet til PDFreader, mangler aktive downloadlink, synes den mest sandsynlige metode, der anvendes til at distribuere Trojan, at være gennem adware-bundter. Faktisk rapporterede forskere fra K7 computing, at en adware-familie kendt som Linkury er begyndt at levere fuldt udbyggede malware-trusler ud over de sædvanlige browser-hijacker-applikationer. De tre opdagede malware-nyttelast var alle til trojanere med infostjæling - Glupteba , KPOT Stealer og Socelars.
