Socelars
Socelars on uus infovarastaja Trooja tüvi, mille infosek-eksperdid on avastanud looduses varitsevat. Ohu peamine eesmärk on koguda seansiküpsiseid ning täiendavaid tundlikke Facebooki ja Amazoni andmeid. Ehkki selle käitumise teatud tunnused ja aspektid näivad olevat sarnased teiste teabe varastamise ohtudega, nagu AdKoob ja Stresspaint , kelle põhieesmärgiks oli ka Facebook, on aluseks olevat koodi analüüsinud küberturvalisuse uurija Vitali Kremezi sõnul Socelars siiski mitte neist ühe variant. Selle asemel on kõige tõenäolisem oletus see, et Socelarsi loojad olid inspireeritud tugevalt teistest troojalastest.
Sisukord
Socelarsi peamine eesmärk on Facebooki reklaamihaldur
Olles suutnud sihitud arvutisse edukalt sisse imbuda, hakkab Socelarsi troojalane oma kahjulikke programme tegema. Esimene samm on juurdepääs küpsiste SQLite andmebaasile, mis võimaldab tal koguda küpsiseid nii Chrome'ist kui ka Firefoxist. Kui asjakohased küpsised on käes, jätkab Socelars järgmise sammuga - ühenduse loomine erinevate Facebooki URL-idega, kust lisateavet saadakse. Kõnealused URL-id on:
- https://www.facebook.com/bookmarks/pages?ref_type=logout_gear
- https://secure.facebook.com/settings
- https://secure.facebook.com/advertisements/manager/account_settings/account_billing/
Kolmas URL - konto_arveldus sisaldab andmeid, näiteks kasutaja konto_tõlge ja konto_ID. Selle teabega varustatuna kogub Socalers seejärel andmeid reklaamihalduri seadetest, kasutades selleks Facebook Graph API kõnet.
Kogu kogutud teave, mis sisaldab krediit- / deebetkaardiandmeid, PayPali e-posti aadressi, küpsiseid, konto ID-sid, konto märke, e-posti aadresse, kulutamispiiranguid jne, tihendatakse ja edastatakse käsule ja juhtimisele (C&C, C2) infrastruktuur, mis on loodud häkkerite jaoks.
Socelarsi sekundaarne sihtmärk on Amazon
Võrreldes Facebooki reklaamihaldurile pühendatud ähvardava tegevusega näib Amazoni sihtimiseks mõeldud funktsionaalsus tugevalt kärbitud. Sellest hoolimata on Socelars võimeline koguma Amazon.com ja Amazon.co.uk seansiküpsiseid. Selle asemel, et omandatud andmeid kasutada täiendava teabe hankimiseks, saadab Socelars küpsised lihtsalt C&C serveritele. Pidage siiski meeles, et Amazoni küpsistele juurdepääsu võimaldamine võimaldaks häkkeritel sisse logida ohustatud kasutajana.
Socelareid võivad levitada reklaamvara rakendused
Socelarsi troojalane maskeerib end võltsitud PDF-lugejaks ja redigeerimisprogrammiks nimega PDFreader. Võltsrakendus saadeti mitmelt veebisaidilt ja selle käivitatavad failid allkirjastati digitaalse sertifikaadiga, mille Sectigo RSA Code Signing CA andis välja ettevõttele nimega Rakete Content Gmbh.
Kuna näib, et PDFreaderiga ühendatud veebisaitidel puuduvad aktiivsed allalaadimislingid, näib Trooja levitamiseks kõige tõenäolisem meetod olevat reklaamvara kogumite kaudu. Tõepoolest, K7 computing teadlased teatasid, et Linkury nime all tuntud reklaamvara perekond on hakanud lisaks tavalistele brauserikaaperdaja rakendustele pakkuma ka täieõiguslikke pahavaraohte. Kolm tuvastatud pahavara kasulikku koormust olid kõik troojalastele - varastaja Glupteba , KPOT Stealer ja Socelars.
