Socelars
Socelars è un nuovo ceppo di Trojan che ruba informazioni che è stato rilevato dagli esperti di infosec per essere in agguato in natura. L'obiettivo principale della minaccia è raccogliere cookie di sessione e ulteriori dati sensibili di Facebook e Amazon. Sebbene alcune caratteristiche e aspetti del suo comportamento sembrano essere simili ad altre minacce che rubano informazioni come AdKoob e Stresspaint , che avevano anche Facebook come obiettivo principale, secondo il ricercatore di sicurezza informatica Vitali Kremez che ha analizzato il codice sottostante, Socelars non è un variante di uno di loro. Invece, la congettura più probabile è che i creatori di Socelars siano stati fortemente ispirati dagli altri Troiani.
Sommario
L’obiettivo principale di Socelars è il gestore degli annunci di Facebook
Una volta in grado di infiltrarsi con successo nel computer mirato, il Trojan Socelars inizia a eseguire la sua programmazione dannosa. Il primo passo è accedere al database Cookies SQLite, che gli permetterà di raccogliere cookies sia da Chrome che da Firefox. Con i cookie in questione in mano, Socelars procederà al passaggio successivo: collegandosi a diversi URL di Facebook da cui verranno recuperate ulteriori informazioni. Gli URL in questione sono:
- https://www.facebook.com/bookmarks/pages?ref_type=logout_gear
- https://secure.facebook.com/settings
- https://secure.facebook.com/advertisements/manager/account_settings/account_billing/
Il terzo URL - account_billing, contiene dati come account_token e account_ID dell'utente. Dotato di queste informazioni, Socalers raccoglierà quindi i dati dalle impostazioni del Gestore pubblicità sfruttando una chiamata API del grafico di Facebook.
Tutte le informazioni raccolte, che includono i dettagli della carta di credito / debito, e-mail PayPal, cookie, ID account, token account, indirizzi e-mail, limiti di spesa, ecc., Verranno compattate e trasmesse al Command-and-Control (C&C, C2) infrastruttura che è stata creata dagli hacker.
L’obiettivo secondario di Socelars è Amazon
Rispetto alla minacciosa attività dedicata al Facebook Advertising Manager, la funzionalità dedicata al targeting di Amazon appare pesantemente troncata. Tuttavia, Socelars è in grado di raccogliere cookie di sessione di Amazon.com e Amazon.co.uk. Invece di sfruttare i dati acquisiti per estrarre ulteriori informazioni, Socelars invierà semplicemente i cookie ai server di C&C. Tieni presente, tuttavia, che l'accesso ai cookie di Amazon consentirebbe agli hacker di accedere come utente compromesso.
Socelars può essere propagato da applicazioni adware
Il Trojan Socelars si traveste da falso lettore di PDF e programma di editing chiamato "PDFreader". È stato osservato che la falsa applicazione è stata consegnata da diversi siti Web e ha i suoi eseguibili firmati con un certificato digitale emesso da Sectigo RSA Code Signing CA a un'entità denominata "Rakete Content Gmbh".
Poiché i siti Web collegati a PDFreader sembrano essere privi di collegamenti per il download attivi, il metodo più probabile utilizzato per distribuire il Trojan sembra essere tramite pacchetti di adware. Infatti, i ricercatori di K7 computing hanno riferito che una famiglia di adware nota come Linkury ha iniziato a fornire minacce malware a tutti gli effetti oltre alle solite applicazioni di browser hijacker. I tre payload di malware rilevati erano tutti per Trojan che rubano informazioni: Glupteba , KPOT Stealer e Socelars.
