Socelars

Socelars on uusi troijalainen tietovarastokanta, jonka infosec-asiantuntijat ovat havainneet piilevän luonnossa. Uhan päätavoitteena on kerätä istuntoevästeitä ja muita arkaluontoisia Facebook- ja Amazon-tietoja. Vaikka tietyt sen käyttäytymisen ominaispiirteet ja näkökohdat näyttävät olevan samanlaisia kuin muut tiedon varastamista uhkaavat tekijät , kuten AdKoob ja Stresspaint , joilla myös Facebook oli ensisijainen kohde, taustakoodia analysoivan kyberturvallisuustutkijan Vitali Kremezin mukaan Socelars ei jommankumman variantti. Sen sijaan todennäköisin arvelu on, että Socelarsin luojat innoittivat voimakkaasti muut troijalaiset.

Socelarsin pääkohde on Facebook-mainosjohtaja

Kun Socelars-troijalainen on onnistunut tunkeutumaan kohdetietokoneeseen onnistuneesti, se alkaa suorittaa haitallisia ohjelmia. Ensimmäinen vaihe on pääsy Cookies SQLite -tietokantaan, jonka avulla se voi kerätä evästeitä sekä Chromesta että Firefoxista. Kun asiaankuuluvat evästeet ovat käsillä, Socelars siirtyy seuraavaan vaiheeseen - muodostaa yhteyden eri Facebook-URL-osoitteisiin, joista lisätietoa haetaan. Kyseiset URL-osoitteet ovat:

  • https://www.facebook.com/bookmarks/pages?ref_type=logout_gear
  • https://secure.facebook.com/settings
  • https://secure.facebook.com/advertisements/manager/account_settings/account_billing/

Kolmas URL-osoite - tilin_lasku sisältää tietoja, kuten käyttäjän tili_token ja tilin_tunnus. Näillä tiedoilla varustettu Socalers kerää sitten tietoja Mainoshallinnan asetuksista hyödyntämällä Facebook Graph -sovellusliittymän kutsua.

Kaikki kerätyt tiedot, mukaan lukien luotto- / maksukorttitiedot, PayPal-sähköposti, evästeet, tilitunnukset, tilitunnukset, sähköpostiosoitteet, kulutusrajat jne., Tiivistetään ja lähetetään Command-and-Control -toiminnolle (C&C, C2). infrastruktuuri, joka on perustettu hakkereille.

Socelarsin toissijainen kohde on Amazon

Verrattuna Facebook Advertisements Managerille omistettuun uhkaavaan toimintaan Amazonin kohdistamiseen tarkoitettu toiminnallisuus näyttää voimakkaasti katkaistulta. Siitä huolimatta Socelars pystyy keräämään Amazon.com- ja Amazon.co.uk-istuntoevästeitä. Sen sijaan, että hyödynnettäisiin hankittuja tietoja lisätietojen louhimiseksi, Socelars lähettää yksinkertaisesti evästeet luokitus- ja palvelupalvelimille. Muista kuitenkin, että pääsy Amazon-evästeisiin antaisi hakkereille mahdollisuuden kirjautua sisään vaarantuneena käyttäjänä.

Adware-sovellukset voivat levittää Socelarsia

Socelars-troijalainen naamioituu väärennetyksi PDF-lukijaksi ja muokkausohjelmaksi nimeltä PDFreader. Väärennetyn sovelluksen havaittiin toimitettavan useilta verkkosivustoilta, ja sen suoritettavat tiedostot allekirjoitettiin Sectigo RSA Code Signing CA: n myöntämällä digitaalisella varmenteella Rakete Content Gmbh -nimiselle yksikölle.

Koska PDFreaderiin liitetyiltä verkkosivustoilta näyttää puuttuvan aktiiviset latauslinkit, todennäköisin tapa käyttää troijalaista näyttää olevan mainosohjelmapakettien kautta. Itse asiassa K7 computingin tutkijat kertoivat, että Linkury-niminen mainosohjelmaperhe on alkanut toimittaa täysimittaisia haittaohjelmien uhkia tavallisten selaimen kaappaajasovellusten lisäksi. Kolme havaittua haittaohjelman hyötykuormaa olivat kaikki troijalaisille info-varastajille - Glupteba , KPOT Stealer ja Socelars.

Trendaavat

Eniten katsottu

Ladataan...