Socelars
Socelars to nowy szczep trojana wykradający informacje, który został wykryty przez ekspertów infosec jako czający się na wolności. Głównym celem zagrożenia jest zbieranie sesyjnych plików cookie oraz dodatkowych wrażliwych danych Facebooka i Amazon. Chociaż niektóre cechy i aspekty jego zachowania wydają się być podobne do innych zagrożeń kradzieży informacji, takich jak AdKoob i Stresspaint , które również miały Facebook jako główny cel, według badacza cyberbezpieczeństwa Vitali Kremeza, który przeanalizował podstawowy kod, Socelars nie jest wariant jednego z nich. Zamiast tego najbardziej prawdopodobnym przypuszczeniem jest, że twórcy Socelars byli silnie inspirowani przez inne trojany.
Spis treści
Głównym celem programu Socelars jest Menedżer reklam na Facebooku
Po udanej infiltracji atakowanego komputera trojan Socelars zaczyna wykonywać swoje szkodliwe oprogramowanie. Pierwszym krokiem jest uzyskanie dostępu do bazy danych Cookies SQLite, która umożliwi gromadzenie plików cookie zarówno z przeglądarki Chrome, jak i Firefox. Mając odpowiednie pliki cookie, Socelars przejdzie do następnego kroku - łączenia się z różnymi adresami URL Facebooka, z których zostaną pobrane dodatkowe informacje. Adresy URL, o których mowa, to:
- https://www.facebook.com/bookmarks/pages?ref_type=logout_gear
- https://secure.facebook.com/settings
- https://secure.facebook.com/advertisements/manager/account_settings/account_billing/
Trzeci adres URL - account_billing, zawiera dane, takie jak account_token użytkownika i account_ID. Wyposażony w te informacje, Socalers będzie następnie zbierać dane z ustawień Menedżera reklam, wykorzystując wywołanie Facebook Graph API.
Wszystkie zebrane informacje, w tym dane karty kredytowej / debetowej, e-mail PayPal, pliki cookie, identyfikatory kont, tokeny kont, adresy e-mail, limity wydatków itp. Zostaną skompresowane i przesłane do Command-and-Control (C&C, C2) infrastruktura, która została stworzona przez hakerów.
Dodatkowym celem programu Socelars jest Amazon
W porównaniu z groźnymi działaniami dedykowanymi Menadżerowi Reklam na Facebooku, funkcjonalność przeznaczona do kierowania reklam na Amazon wydaje się mocno ograniczona. Niemniej jednak Socelars może gromadzić sesyjne pliki cookie Amazon.com i Amazon.co.uk. Jednak zamiast wykorzystywać pozyskane dane do wydobywania dalszych informacji, Socelars po prostu wyśle pliki cookie do serwerów C&C. Należy jednak pamiętać, że dostęp do plików cookie Amazon umożliwiłby hakerom zalogowanie się jako zaatakowany użytkownik.
Socelars może być rozpowszechniany przez aplikacje typu adware
Trojan Socelars podszywa się pod fałszywy program do odczytu i edycji plików PDF o nazwie „PDFreader". Zaobserwowano, że fałszywa aplikacja została dostarczona z kilku witryn internetowych, a jej pliki wykonywalne zostały podpisane certyfikatem cyfrowym wydanym przez Sectigo RSA Code Signing CA podmiotowi o nazwie „Rakete Content Gmbh".
Ponieważ wydaje się, że w witrynach internetowych połączonych z programem PDFreader brakuje aktywnych linków do pobierania, najbardziej prawdopodobną metodą dystrybucji trojana są pakiety adware. Rzeczywiście, badacze z K7 computing donieśli, że rodzina adware znana jako Linkury zaczęła dostarczać pełnoprawne złośliwe oprogramowanie, oprócz zwykłych aplikacji porywaczy przeglądarki. Wszystkie trzy wykryte ładunki szkodliwego oprogramowania były przeznaczone dla trojanów wykradających informacje - Glupteba , KPOT Stealer i Socelars.
