Socelars
O Socelars é uma nova leva de Trojans que roubam informações que foi detectada pelos especialistas em info-sec solta na natureza. O principal objetivo da ameaça é coletar cookies de sessão e dados confidenciais adicionais do Facebook e da Amazon. Embora certas características e aspectos de seu comportamento pareçam ser semelhantes a outras ameaças de roubo de informações, como AdKoob e Stresspaint, que também tinham o Facebook como alvo principal, de acordo com o pesquisador de segurança cibernética Vitali Kremez que analisou o código subjacente, Socelars não é um variante de qualquer um deles. Em vez disso, a conjectura mais provável é que os criadores do Socelars foram fortemente inspirados por outros Trojans.
Índice
O Principal Alvo do Socelars é o Gerenciador de Anúncios do Facebook
Uma vez capaz de se infiltrar no computador visado com sucesso, o Trojan Socelars começa a executar sua programação prejudicial. O primeiro passo é acessar o banco de dados Cookies SQLite, que permitirá coletar cookies do Chrome e do Firefox. Com os cookies relevantes em mãos, Socelars irá prosseguir para a próxima etapa - conectando-se a diferentes URLs do Facebook a partir dos quais informações adicionais serão recuperadas. Os URLs em questão são:
- https://www.facebook.com/bookmarks/pages?ref_type=logout_gear
- https://secure.facebook.com/settings
- https://secure.facebook.com/advertisements/manager/account_settings/account_billing/
O terceiro URL - account_billing, contém dados como account_token e account_ID do usuário. Equipado com essas informações, o Socalers coletará dados das configurações do Advertisements Manager, aproveitando uma chamada API Graph do Facebook.
Todas as informações coletadas, que incluem detalhes de cartão de crédito/débito, e-mail do PayPal, cookies, ids de conta, tokens de conta, endereços de e-mail, limites de gastos, etc., serão compactados e transmitidos ao Command-and-Control (C&C, C2) infraestrutura que foi configurada pelos hackers.
O Alvo Secundário do Socelars é o Amazon
Em comparação com a atividade ameaçadora dedicada ao Gerenciador de anúncios do Facebook, a funcionalidade dedicada a direcionar a Amazon parece muito truncada. No entanto, a Socelars é capaz de coletar cookies de sessão da Amazon.com e da Amazon.co.uk. Em vez de aproveitar os dados adquiridos para extrair mais informações, entretanto, a Socelars simplesmente enviará os cookies para os servidores C&C. Lembre-se, no entanto, de que ter acesso aos cookies da Amazon permitiria que os hackers se conectassem como o usuário comprometido.
O Socelars pode ser Propagado por Aplicativos de Adware
O Trojan Socelars se disfarça como um falso leitor de PDF e programa de edição chamado 'PDFreader'. Observou-se que o aplicativo falso foi entregue a partir de vários sites e tem seus executáveis assinados com um certificado digital emitido pela Sectigo RSA Code Signing CA para uma entidade chamada 'Rakete Content Gmbh.'
Como os sites conectados ao PDFreader parecem não ter links de download ativos, o método mais provável de distribuição do Trojan parece ser através de pacotes de adware. De fato, pesquisadores da computação K7 relataram que uma família de adware conhecida como Linkury começou a fornecer ameaças de malware totalmente desenvolvidas, além dos aplicativos usuais de sequestrador de navegador. As três cargas de malware detectadas eram todas para Trojans ladrões de informações - Gluptepa, Kpot e Socelars.
