Socelars

Socelars es una nueva cepa troyana que roba información y que los expertos en seguridad de la información han detectado que acecha en la naturaleza. El objetivo principal de la amenaza es recopilar cookies de sesión y datos confidenciales adicionales de Facebook y Amazon. Aunque ciertas características y aspectos de su comportamiento parecen ser similares a otras amenazas de robo de información como AdKoob y Stresspaint , que también tenían a Facebook como objetivo principal, según el investigador de ciberseguridad Vitali Kremez que analizó el código subyacente, Socelars no es un variante de cualquiera de ellos. En cambio, la conjetura más probable es que los creadores de Socelars se inspiraron en gran medida en los otros troyanos.

El objetivo principal de Socelars es el administrador de anuncios de Facebook

Una vez que puede infiltrarse con éxito en la computadora de destino, el troyano Socelars comienza a ejecutar su programación dañina. El primer paso es acceder a la base de datos de Cookies SQLite, que le permitirá recopilar cookies tanto de Chrome como de Firefox. Con las cookies relevantes en la mano, Socelars continuará con el siguiente paso: conectarse a diferentes URL de Facebook de las que se recuperará información adicional. Las URL en cuestión son:

  • https://www.facebook.com/bookmarks/pages?ref_type=logout_gear
  • https://secure.facebook.com/settings
  • https://secure.facebook.com/advertisements/manager/account_settings/account_billing/

La tercera URL, account_billing, contiene datos como el account_token y el account_ID del usuario. Equipado con esta información, Socalers recopilará datos de la configuración del Administrador de anuncios aprovechando una llamada a la API de Facebook Graph.

Toda la información recopilada, que incluye detalles de tarjetas de crédito / débito, correo electrónico de PayPal, cookies, identificadores de cuenta, tokens de cuenta, direcciones de correo electrónico, límites de gasto, etc., se compactará y se transmitirá al comando y control (C&C, C2). infraestructura que se ha creado por los piratas informáticos.

El objetivo secundario de Socelars es Amazon

En comparación con la actividad amenazante dedicada al Administrador de anuncios de Facebook, la funcionalidad dedicada a apuntar a Amazon parece muy truncada. Sin embargo, Socelars es capaz de recopilar cookies de sesión de Amazon.com y Amazon.co.uk. Sin embargo, en lugar de aprovechar los datos adquiridos para extraer más información, Socelars simplemente enviará las cookies a los servidores de C&C. Sin embargo, tenga en cuenta que tener acceso a las cookies de Amazon permitiría a los piratas informáticos iniciar sesión como el usuario comprometido.

Socelars puede ser propagado por aplicaciones de adware

El troyano Socelars se disfraza de un lector de PDF falso y un programa de edición llamado 'PDFreader'. Se observó que la aplicación falsa se entregó desde varios sitios web y sus ejecutables están firmados con un certificado digital emitido por Sectigo RSA Code Signing CA a una entidad llamada 'Rakete Content Gmbh'.

Como los sitios web conectados a PDFreader parecen carecer de enlaces de descarga activos, el método más probable empleado para distribuir el troyano parece ser a través de paquetes de adware. De hecho, los investigadores de K7 computing informaron que una familia de programas publicitarios conocida como Linkury ha comenzado a ofrecer amenazas de malware en toda regla además de las aplicaciones habituales de secuestradores de navegadores. Las tres cargas útiles de malware detectadas eran todas para troyanos ladrones de información : Glupteba , KPOT Stealer y Socelars.

Tendencias

Mas Visto

Cargando...