セキュリティ研究者は、Windowsユーザーを狙う情報窃取型トロイの木馬であるSocelarsを追跡している。これはファイルを破壊するのではなく、ブラウザベースのアクセス情報をひそかに収集することに重点を置いている。
このマルウェアは、認証済みセッションデータやその他のシステム識別子を収集するよう設計されており、攻撃者が被害者の既存の「ログイン済み」状態を再利用してオンラインサービスにアクセスできるようにする。
公開情報では、SocelarsがFacebook Ads Managerに関連する窃取と結び付けられており、盗まれたセッションが広告アカウントの乗っ取りによる直接的な金銭的悪用へと転用され得るとされている。
Anyrunによると、研究者はSocelarsがFacebookやAmazonからセッションクッキーを盗むことも報告しており、パスワードそのものがなくてもアカウントを乗っ取るのに十分な場合があるという。
以前のキャンペーンでは、Socelarsは偽のPDFリーダー/エディターを装った誘導(しばしば「PDFreader」と説明される)を通じて配布されており、マルウェアを一般的な職場ツールのように見せかける典型的なソーシャルエンジニアリング手口が用いられていた。
実行されると、偽のインストーラーは「pdfreader2019」フォルダーを作成し、その後バックグラウンドでデータ窃取を進めるため、ユーザーにとって明確な兆候がほとんど残らない。
アクセス情報を盗むため、このトロイの木馬は、ブラウザのクッキーストレージ(CookiesのSQLiteデータベースなど)を読み取ることで、ChromeやFirefoxといったブラウザからクッキーデータを取得すると報告されている。
その情報はFacebookのURLに接続して広告運用に紐づく項目を抽出するために利用され得る。これにはアカウントIDやアクセストークンが含まれ、プラットフォームAPIを通じたさらなるアクセスを可能にする。
最近のサンドボックス報告では、Socelarsはシステムチェックと偵察から開始し、その後、COMの自動昇格(cmlua.dll経由のICMLuaUtil)によるユーザーアカウント制御(UAC)バイパスを用いて権限昇格を試みると説明されている。
同じ観測活動において、マルウェアは「patatoes」という名前のミューテックスを作成し、iplogger[.]orgサービスに接続した。その後、サンプルが意図的に終了(クラッシュのように見せかける)する様子が確認された。
企業にとっての実務上のリスクは、盗まれた広告セッションのアクセスが悪用されて不正キャンペーンの実行、予算の流出、侵害アカウントの転売などにつながり得る点にある。また、請求・支払い情報が盗まれると金銭的影響はさらに深刻化する。
Socelarsが狙うデータに関する報告には、広告用メールアドレス、セッションクッキー、アクセストークン、ページ/アカウントの詳細、支出上限、さらにはクレジットカードやPayPal連携情報まで含まれており、攻撃者はこれらを迅速に収益化できる。
防御側は、疑わしい「PDFリーダー」のダウンロード元をブロックし、信頼できないインストーラーを避け、クッキーデータベースへの異常なアクセスを検知できるようブラウザおよびエンドポイントの制御を強化することで、露出を減らせる。
翻訳元: https://gbhackers.com/socelars-malware-targets-windows-systems/
