Socelars
Socelars is een nieuwe Trojan-stam die informatie steelt en waarvan is vastgesteld dat deze door infosec-experts in het wild op de loer ligt. Het belangrijkste doel van de dreiging is het verzamelen van sessiecookies en aanvullende gevoelige Facebook- en Amazon-gegevens. Hoewel bepaalde kenmerken en aspecten van zijn gedrag vergelijkbaar lijken te zijn met andere bedreigingen voor het stelen van informatie, zoals AdKoob en Stresspaint , die ook Facebook als primair doelwit hadden, volgens de cybersecurity-onderzoeker Vitali Kremez die de onderliggende code analyseerde, is Socelars geen variant van een van beide. In plaats daarvan is het meest waarschijnlijke vermoeden dat de makers van Socelars zwaar werden geïnspireerd door de andere Trojaanse paarden.
Inhoudsopgave
Het belangrijkste doelwit van Socelars is de Facebook-advertentiebeheerder
Eenmaal in staat om de beoogde computer met succes te infiltreren, begint de Socelars Trojan zijn schadelijke programmering uit te voeren. De eerste stap is om toegang te krijgen tot de Cookies SQLite-database, waardoor deze cookies kan verzamelen van zowel Chrome als Firefox. Met de relevante cookies in de hand, gaat Socelars verder met de volgende stap - verbinding maken met verschillende Facebook-URL's waaruit aanvullende informatie wordt opgehaald. De betreffende URL's zijn:
- https://www.facebook.com/bookmarks/pages?ref_type=logout_gear
- https://secure.facebook.com/settings
- https://secure.facebook.com/advertisements/manager/account_settings/account_billing/
De derde URL - account_billing, bevat gegevens zoals de account_token en account_ID van de gebruiker. Uitgerust met deze informatie, zal Socalers vervolgens gegevens verzamelen uit de instellingen van Advertentiemanager door gebruik te maken van een Facebook Graph API-oproep.
Alle verzamelde informatie, waaronder creditcard- / betaalpasgegevens, PayPal-e-mail, cookies, rekening-ID's, rekeningtokens, e-mailadressen, bestedingslimieten, enz., Wordt gecomprimeerd en verzonden naar Command-and-Control (C&C, C2) infrastructuur die is opgezet door de hackers.
Het secundaire doelwit van Socelars is Amazon
In vergelijking met de bedreigende activiteit die is gewijd aan de Facebook-advertentiemanager, lijkt de functionaliteit die is gericht op het targeten van Amazon sterk ingekort. Niettemin is Socelars in staat om sessiecookies van Amazon.com en Amazon.co.uk te verzamelen. In plaats van de verkregen gegevens te gebruiken om meer informatie te verzamelen, stuurt Socelars de cookies gewoon naar de C & C-servers. Houd er echter rekening mee dat hackers toegang hebben tot de Amazon-cookies om in te loggen als de gecompromitteerde gebruiker.
Socelars kan worden verspreid door adwaretoepassingen
De Socelars Trojan vermomt zichzelf als een nep-pdf-lezer en een bewerkingsprogramma met de naam 'pdfreader'. Er werd waargenomen dat de nep-applicatie afkomstig was van verschillende websites en waarvan de uitvoerbare bestanden zijn ondertekend met een digitaal certificaat dat is uitgegeven door Sectigo RSA Code Signing CA aan een entiteit genaamd 'Rakete Content Gmbh.'
Aangezien de websites die zijn verbonden met PDFreader geen actieve downloadlinks lijken te hebben, lijkt de meest waarschijnlijke methode om de Trojan te verspreiden via adwarebundels. Onderzoekers van K7 computing meldden inderdaad dat een adware-familie die bekend staat als Linkury, volwaardige malwarebedreigingen is gaan leveren naast de gebruikelijke browserkaper-applicaties. De drie gedetecteerde malware-payloads waren allemaal voor info-stealer Trojaanse paarden : Glupteba , KPOT Stealer en Socelars.
