Socelars

Socelars Opis

Socelars novi je trojanski soj za krađu informacija koji su stručnjaci za infosec otkrili kako vreba u divljini. Glavni cilj prijetnje je prikupljanje kolačića sesije i dodatnih osjetljivih podataka na Facebooku i Amazonu. Iako se čini da su određene karakteristike i aspekti njegovog ponašanja slični ostalim prijetnjama krađom informacija poput AdKoob-a i Stresspainta, kojima je Facebook bio i primarna meta, prema istraživaču kibernetske sigurnosti Vitaliju Kremezu koji je analizirao temeljni kôd, Socelars nije varijanta bilo kojeg od njih. Umjesto toga, najvjerojatnija je pretpostavka da su tvorce Socelara jako nadahnuli drugi Trojanci.

Glavna meta Socelars-a je Facebook Advertisement Manager

Jednom kad se uspješno infiltrira u ciljano računalo, Trojanac Socelars počinje izvršavati svoje štetno programiranje. Prvi korak je pristup bazi podataka Cookies SQLite, koja će mu omogućiti prikupljanje kolačića i iz Chromea i iz Firefoxa. S odgovarajućim kolačićima u ruci, Socelars će prijeći na sljedeći korak - povezivanje s različitim Facebook URL-ovima s kojih će se dobiti dodatne informacije. U pitanju su URL-ovi:

  • https://www.facebook.com/bookmarks/pages?ref_type=logout_gear
  • https://secure.facebook.com/settings
  • https://secure.facebook.com/advertisements/manager/account_settings/account_billing/

Treći URL - account_billing, sadrži podatke kao što su korisnikov account_token i account_ID. Opremljeni ovim informacijama, Socalers će zatim prikupiti podatke iz postavki Upravitelja reklama iskorištavanjem Facebook Graph API poziva.

Svi prikupljeni podaci, koji uključuju podatke o kreditnoj / debitnoj kartici, PayPal e-poštu, kolačiće, ID-ove računa, tokene računa, adrese e-pošte, ograničenja potrošnje itd., Bit će zbijeni i proslijeđeni Command-and-Control (C&C, C2) infrastruktura koja je postavljena za hakere.

Sekularni sekundarni cilj je Amazon

U usporedbi s prijetećom aktivnošću posvećenom Facebook Advertisers Manageru, čini se da je funkcionalnost posvećena ciljanju Amazona jako krnja. Ipak, Socelars je sposoban prikupljati kolačiće sesije Amazon.com i Amazon.co.uk. Umjesto da prikupljene podatke iskoristi za iskopavanje daljnjih informacija, Socelars će jednostavno poslati kolačiće na C&C poslužitelje. Imajte na umu, međutim, da bi pristup Amazon kolačićima omogućio hakerima da se prijave kao ugroženi korisnik.

Adware aplikacije mogu širiti socelare

Trojanac Socelars maskira se kao lažni PDF čitač i program za uređivanje naziva "PDFreader". Primijećeno je da se lažna aplikacija dostavlja s nekoliko web stranica, a izvršne datoteke potpisuju se digitalnim certifikatom koji je izdao Sectigo RSA Code Signing CA entitetu pod nazivom „Rakete Content Gmbh".

Kako se čini da web lokacijama povezanim s PDFreader-om nedostaju aktivne veze za preuzimanje, čini se da je najvjerojatnija metoda koja se koristi za distribuciju trojanskog programa putem adware snopova. Doista, istraživači iz K7 computinga izvijestili su da je adware obitelj poznata kao Linkury počela pružati punopravne prijetnje zlonamjernim softverom uz uobičajene programe otmičara. Tri otkrivena korisna opterećenja zlonamjernog softvera bila su namijenjena trojanskim ljudima koji kradu informacije - Glupteba , KPOT Stealer i Socelars.