Socelars

Socelars ist ein neuer Trojaner-Stamm, der von Infosec-Experten als wild lauernd eingestuft wurde. Das Hauptziel der Bedrohung ist das Sammeln von Sitzungscookies und zusätzlichen sensiblen Facebook- und Amazon-Daten. Obwohl bestimmte Merkmale und Aspekte seines Verhaltens anderen Bedrohungen durch Informationsdiebstahl wie AdKoob und Stresspaint ähnlich zu sein scheinen, die laut dem Cybersicherheitsforscher Vitali Kremez, der den zugrunde liegenden Code analysierte, auch Facebook als primäres Ziel hatten, ist Socelars kein Variante von einem von ihnen. Stattdessen ist die wahrscheinlichste Vermutung, dass die Schöpfer von Socelars stark von den anderen Trojanern inspiriert wurden.

Das Hauptziel von Socelars ist der Facebook Advertisements Manager

Sobald der Socelars-Trojaner den Zielcomputer erfolgreich infiltrieren kann, beginnt er mit der Ausführung seiner schädlichen Programmierung. Der erste Schritt besteht darin, auf die SQLite-Datenbank für Cookies zuzugreifen, mit der Cookies sowohl von Chrome als auch von Firefox gesammelt werden können. Mit den entsprechenden Cookies in der Hand fährt Socelars mit dem nächsten Schritt fort - dem Herstellen einer Verbindung zu verschiedenen Facebook-URLs, von denen zusätzliche Informationen abgerufen werden. Die fraglichen URLs sind:

  • https://www.facebook.com/bookmarks/pages?ref_type=logout_gear
  • https://secure.facebook.com/settings
  • https://secure.facebook.com/advertisements/manager/account_settings/account_billing/

Die dritte URL - account_billing - enthält Daten wie das account_token und die account_ID des Benutzers. Ausgestattet mit diesen Informationen sammeln Socalers dann Daten aus den Einstellungen des Anzeigenmanagers, indem sie einen Facebook Graph API-Aufruf nutzen.

Alle gesammelten Informationen, einschließlich Kredit- / Debitkartendaten, PayPal-E-Mail, Cookies, Konto-IDs, Konto-Token, E-Mail-Adressen, Ausgabenlimits usw., werden komprimiert und an Command-and-Control (C & C, C2) übertragen. Infrastruktur, die von den Hackern eingerichtet wurde.

Das sekundäre Ziel von Socelars ist Amazon

Im Vergleich zu den Bedrohungsaktivitäten für den Facebook Advertisements Manager scheint die Funktionalität für die Ausrichtung auf Amazon stark eingeschränkt zu sein. Trotzdem kann Socelars Sitzungscookies für Amazon.com und Amazon.de sammeln. Anstatt die erfassten Daten zu nutzen, um weitere Informationen abzubauen, sendet Socelars die Cookies einfach an die C & C-Server. Beachten Sie jedoch, dass sich die Hacker durch den Zugriff auf die Amazon-Cookies als gefährdeter Benutzer anmelden können.

Socelars können von Adware-Anwendungen verbreitet werden

Der Socelars-Trojaner verkleidet sich als gefälschter PDF-Reader und Bearbeitungsprogramm namens "PDFreader". Es wurde beobachtet, dass die gefälschte Anwendung von mehreren Websites geliefert wurde und ihre ausführbaren Dateien mit einem digitalen Zertifikat signiert sind, das von der Sectigo RSA Code Signing CA an eine Einrichtung namens "Rakete Content Gmbh" ausgestellt wurde.

Da auf den mit PDFreader verbundenen Websites offenbar keine aktiven Download-Links vorhanden sind, scheint die wahrscheinlichste Methode zur Verbreitung des Trojaners die Verwendung von Adware-Bundles zu sein. Forscher von K7 Computing berichteten, dass eine als Linkury bekannte Adware-Familie damit begonnen hat, zusätzlich zu den üblichen Browser-Hijacker-Anwendungen vollwertige Malware-Bedrohungen bereitzustellen. Die drei erkannten Malware-Nutzdaten waren alle für Info-Stealer-Trojaner - Glupteba, KPOT Stealer und Socelars.

Im Trend

Am häufigsten gesehen

Wird geladen...