Socelars
Socelars est une nouvelle souche de cheval de Troie voleuse d'informations qui a été détectée par les experts en infosec comme se cachant dans la nature. L'objectif principal de la menace est de collecter des cookies de session et des données Facebook et Amazon sensibles supplémentaires. Bien que certaines caractéristiques et certains aspects de son comportement semblent similaires à d'autres menaces de vol d'informations telles que AdKoob et Stresspaint , qui avaient également Facebook comme cible principale, selon le chercheur en cybersécurité Vitali Kremez qui a analysé le code sous-jacent, Socelars n'est pas un variante de l’un d’eux. Au lieu de cela, la conjecture la plus probable est que les créateurs de Socelars se sont fortement inspirés des autres chevaux de Troie.
Table des matières
La cible principale de Socelars est le gestionnaire d’annonces Facebook
Une fois capable d'infiltrer l'ordinateur ciblé avec succès, le cheval de Troie Socelars commence à exécuter sa programmation nuisible. La première étape consiste à accéder à la base de données Cookies SQLite, ce qui lui permettra de collecter des cookies à la fois de Chrome et de Firefox. Avec les cookies appropriés en main, Socelars passera à l'étape suivante - se connecter à différentes URL Facebook à partir desquelles des informations supplémentaires seront récupérées. Les URL en question sont:
- https://www.facebook.com/bookmarks/pages?ref_type=logout_gear
- https://secure.facebook.com/settings
- https://secure.facebook.com/advertisements/manager/account_settings/account_billing/
La troisième URL, account_billing, contient des données telles que le account_token et le account_ID de l'utilisateur. Munis de ces informations, Socalers collectera ensuite des données à partir des paramètres du gestionnaire d'annonces en exploitant un appel API Facebook Graph.
Toutes les informations collectées, y compris les détails de la carte de crédit / débit, l'e-mail PayPal, les cookies, les identifiants de compte, les jetons de compte, les adresses e-mail, les limites de dépenses, etc., seront compactées et transmises au Command-and-Control (C&C, C2) infrastructure qui a été mise en place par les pirates.
La cible secondaire de Socelars est Amazon
Par rapport à l'activité menaçante dédiée au gestionnaire d'annonces Facebook, la fonctionnalité dédiée au ciblage d'Amazon apparaît fortement tronquée. Néanmoins, Socelars est capable de collecter les cookies de session Amazon.com et Amazon.co.uk. Au lieu d'exploiter les données acquises pour extraire des informations supplémentaires, Socelars enverra simplement les cookies aux serveurs C&C. Gardez à l'esprit, cependant, que l'accès aux cookies Amazon permettrait aux pirates de se connecter en tant qu'utilisateur compromis.
Les Socelars peuvent être propagées par des applications publicitaires
Le cheval de Troie Socelars se déguise en un faux lecteur PDF et un programme d'édition appelé «PDFreader». On a observé que la fausse application était livrée à partir de plusieurs sites Web et que ses exécutables étaient signés avec un certificat numérique émis par Sectigo RSA Code Signing CA à une entité nommée «Rakete Content Gmbh».
Étant donné que les sites Web connectés à PDFreader semblent manquer de liens de téléchargement actifs, la méthode la plus probable utilisée pour distribuer le cheval de Troie semble être via des ensembles de logiciels publicitaires. En effet, des chercheurs de K7 computing ont rapporté qu'une famille de logiciels publicitaires connue sous le nom de Linkury a commencé à diffuser des menaces de logiciels malveillants à part entière en plus des applications habituelles de piratage de navigateur. Les trois charges utiles de logiciels malveillants détectés concernaient tous des chevaux de Troie voleurs d'informations - Glupteba , KPOT Stealer et Socelars.
