セキュリティ研究者は、Windowsユーザーを狙う巧妙な情報窃取型トロイの木馬「Socelars」を追跡しています。
ファイルをロックするランサムウェアとは異なり、Socelarsはひそかにブラウザデータを奪い、オンラインアカウントを乗っ取ります。認証済みセッション情報に焦点を当て、攻撃者がパスワードなしで被害者の「ログイン済み」状態を再利用できるようにします。
公開レポートでは、SocelarsがFacebook Ads Managerを狙った詐欺と関連付けられています。盗まれたセッションにより、犯罪者は広告アカウントを乗っ取り、偽のキャンペーンを開始し、予算を使い切ったり、アクセス権を現金目的で転売したりできます。
攻撃者は「PDFreader」インストーラーのような偽のPDFリーダーの誘い文句でSocelarsを拡散します。被害者は業務用ツールをダウンロードしていると思い込みますが、ファイルは「pdfreader2019」フォルダーを作成し、バックグラウンドでデータの窃取を開始します。ユーザーに警告する兆候はほとんどなく、発見が困難です。
さらに、FacebookのURLに接続して、アカウントID、支出上限、メールアドレス、ページ情報、紐付いた支払い方法(クレジットカードやPayPalなど)といった広告関連の詳細を抽出します。
最近のAnyrunサンドボックス分析により、Socelarsの完全な攻撃チェーンが示されています。まずシステム偵察から始まり、環境を確認します。
次に、ユーザー アカウント制御(UAC)のバイパスによって権限昇格を試み、cmlua.dllとICMLuaUtilを介したCOMの自動昇格を利用します。
このマルウェアは二重実行を避けるため、「patatoes」というミューテックスを作成します。追跡のためにiplogger[.]orgへ接続した後、痕跡を隠す目的で意図的にクラッシュし、通常のアプリの失敗のように見せかけます。
企業にとって、危険は現実的です。侵害された広告アカウントは不正行為の温床となり、盗まれた請求情報は直接的な窃取につながります。攻撃者はプラットフォームAPIを通じてセッションを悪用し、素早く収益化します。
研究者はSocialsを継続中のキャンペーンに関連付け、迅速な対応を促しています。広告プラットフォームが成長するにつれ、このような窃盗犯も進化します。警戒を怠らず、基本的な習慣で大きな損失を防ぎましょう。
翻訳元: https://cyberpress.org/socelars-malware-attacking-windows/