Un grupo desconocido de piratas informáticos está distribuyendo un troyano que roba información disfrazada de lector de PDF, que puede copiar cookies de sesión de Facebook, así como datos confidenciales de Facebook Ads Manager. .
En particular, el 30 de noviembre, MalwareHunterTeam encontró muchos sitios web que distribuían un programa de edición de PDF falso llamado ‘PDFreader’. Los ejecutables distribuidos desde este sitio web están firmados por un certificado digital emitido por Sectigo para “Rakete Contenticineh”.
VirusTotal luego se hizo cargo e identificó este troyano como Socelars, sin embargo, tenía algunas similitudes con otros troyanos, como AdKoob y Stresspaint, en un intento de extraer y robar datos de Facebook de muchas URL diferentes. Sin embargo, según Vitali Kremez, el especialista en seguridad encargado de analizar este troyano, no existe mucha similitud de código entre este Socelars y otros troyanos, por lo que se puede confirmar que se trata de un troyano especialmente desarrollado. en lugar de actualizar desde troyanos conocidos.
Administrador de anuncios de Facebook de destino
Primero, Socelars intentará robar sesiones de cookies de Facebook de Chrome y Firefox accediendo a la base de datos de cookies de SQLite. Una vez que la cookie se recupera con éxito, se utilizará para conectar varias URL de Facebook donde se extrae la información.
https://www.facebook.com/bookmarks/pages?ref_type=logout_gear
https://secure.facebook.com/settings
https://secure.facebook.com/ads/manager/account_settings/account_billing/
La URL de account_billing se utilizará para extraer la cuenta del usuario y el access_token, que se utilizará en la llamada de la API de Facebook Graph para robar datos de la configuración de Ad Manager del usuario.
La llamada a la API de gráficos de Facebook es la siguiente:
https://graph.facebook.com/v4.0/act_{account_id}?_reqName=adaccount&_reqSrc=AdsPaymentMethodsDataLoader&fields=%5B%22all_payment_methods%7Bpayment_method_altpays%7Baccount_id%2Ccountry%2Cc 7D% 2Cpm_credit_card% 7Baccount_id% 2Ccredential_id% 2Ccredit_card_address% 2Ccredit_card_type% 2Cdisplay_string% 2Cexp_month% 2Cexp_year% 2Cfirst_name% 2Cis_verified% 2Clast_name% 2Cmiddle_name% 2Ctime_created% 2Cneed_3ds_authorization% 2Callow_manual_3ds_authorization% 2Csupports_recurring_in_india% 7D% 2Cpayment_method_direct_debits% 7Baccount_id% 2Caddress% 2Ccan_verify% 2Ccredential_id% 2Cdisplay_string% 2Cfirst_name% 2Cis_awaiting% 2Cis_pending% 2Clast_name% 2Cmiddle_name% 2Cstatus% 2Ctime_created% 7D% 2Cpayment_method_extended_credits% 7Baccount_id% 2Cbalance% 2Ccredential_id% 2Cmax_balance% 2Ctype% 2Cpartitioned_from% 2Csequential_liability_amount% 7D% 2Cpayment_method_paypal% 7Baccount_id% 2Ccredential_id% 2Cemail_address% 2Ctime_created% 7D % 2Cpayment_method_stored_balances% 7Baccount_id% 2Cbalance% 2Ccredential_id% 2Ctotal_fundings% 7D% 2Cpayment_method_tokens% 7Baccount_id% 2Ccredential_id% 2Ccurrent_balance% 2Coriginal_balance% 2Ctime_created% 2Ctime_expire% 2Ctype% 7D% 7D% 22% 5D & include_headers = false & locale = it_IT & method = get & pretty = 0 & suppress_http_code = 1
Los datos que pueden ser robados incluyen cookies de sesión, tokens de acceso, identificadores de cuentas, direcciones de correo electrónico promocionales, páginas relacionadas, información de tarjetas de crédito (números, fechas de vencimiento), correos electrónicos de PayPal, saldos. los anuncios, los límites de gasto, etc., se compilan y envían al servidor de comando y control del atacante (C2).
Más en serio, los atacantes pueden utilizar estas cookies de Facebook robadas para acceder a sus cuentas y utilizarlas para crear sus propias campañas publicitarias maliciosas.
Este troyano se ejecuta de forma silenciosa y realiza todas sus acciones en segundo plano, para que los usuarios no sepan que han sido víctimas de códigos maliciosos. Facebook aún no ha comentado sobre el incidente.
hackers ataques de red robo de datos de Facebook
Un grupo desconocido de piratas informáticos está distribuyendo un troyano que roba información disfrazado de lector de PDF que puede copiar cookies de sesión de Facebook, así como datos confidenciales de Facebook Ads Manager. .
En particular, el 30 de noviembre, MalwareHunterTeam encontró muchos sitios web que distribuían un programa de edición de PDF falso llamado ‘PDFreader’. Los ejecutables distribuidos desde este sitio están firmados por un certificado digital emitido por Sectigo para “Rakete Contenticineh”.
VirusTotal luego se hizo cargo e identificó este troyano como Socelars, sin embargo, tenía algunas similitudes con otros troyanos, como AdKoob y Stresspaint, en un intento de extraer y robar datos de Facebook de muchas URL diferentes. Sin embargo, según Vitali Kremez, el especialista en seguridad encargado de analizar este troyano, no existe mucha similitud de código entre este Socelars y otros troyanos, por lo que se puede confirmar que se trata de un troyano especialmente desarrollado. en lugar de actualizar desde troyanos conocidos.
Administrador de anuncios de Facebook de destino
Primero, Socelars intentará robar sesiones de cookies de Facebook de Chrome y Firefox accediendo a la base de datos de cookies de SQLite. Una vez que la cookie se recupera con éxito, se utilizará para conectar varias URL de Facebook donde se extrae la información.
https://www.facebook.com/bookmarks/pages?ref_type=logout_gear
https://secure.facebook.com/settings
https://secure.facebook.com/ads/manager/account_settings/account_billing/
La URL de account_billing se utilizará para extraer la cuenta del usuario y el access_token, que se utilizará en la llamada de la API de Facebook Graph para robar datos de la configuración de Ad Manager del usuario.
La llamada a la API de gráficos de Facebook es la siguiente:
https://graph.facebook.com/v4.0/act_{account_id}?_reqName=adaccount&_reqSrc=AdsPaymentMethodsDataLoader&fields=%5B%22all_payment_methods%7Bpayment_method_altpays%7Baccount_id%2Ccountry%2Cc 7D% 2Cpm_credit_card% 7Baccount_id% 2Ccredential_id% 2Ccredit_card_address% 2Ccredit_card_type% 2Cdisplay_string% 2Cexp_month% 2Cexp_year% 2Cfirst_name% 2Cis_verified% 2Clast_name% 2Cmiddle_name% 2Ctime_created% 2Cneed_3ds_authorization% 2Callow_manual_3ds_authorization% 2Csupports_recurring_in_india% 7D% 2Cpayment_method_direct_debits% 7Baccount_id% 2Caddress% 2Ccan_verify% 2Ccredential_id% 2Cdisplay_string% 2Cfirst_name% 2Cis_awaiting% 2Cis_pending% 2Clast_name% 2Cmiddle_name% 2Cstatus% 2Ctime_created% 7D% 2Cpayment_method_extended_credits% 7Baccount_id% 2Cbalance% 2Ccredential_id% 2Cmax_balance% 2Ctype% 2Cpartitioned_from% 2Csequential_liability_amount% 7D% 2Cpayment_method_paypal% 7Baccount_id% 2Ccredential_id% 2Cemail_address% 2Ctime_created% 7D % 2Cpayment_method_stored_balances% 7Baccount_id% 2Cbalance% 2Ccredential_id% 2Ctotal_fundings% 7D% 2Cpayment_method_tokens% 7Baccount_id% 2Ccredential_id% 2Ccurrent_balance% 2Coriginal_balance% 2Ctime_created% 2Ctime_expire% 2Ctype% 7D% 7D% 22% 5D & include_headers = false & locale = it_IT & method = get & pretty = 0 & suppress_http_code = 1
Los datos que pueden ser robados incluyen cookies de sesión, tokens de acceso, identificadores de cuentas, direcciones de correo electrónico promocionales, páginas relacionadas, información de tarjetas de crédito (números, fechas de vencimiento), correos electrónicos de PayPal, saldos. los anuncios, los límites de gasto, etc., se compilan y envían al servidor de comando y control del atacante (C2).
Más en serio, los atacantes pueden usar estas cookies de Facebook robadas para acceder a sus cuentas y usarlas para crear sus propias campañas publicitarias maliciosas.
Este troyano se ejecuta de forma silenciosa y realiza todas sus acciones en segundo plano, para que los usuarios no sepan que han sido víctimas de códigos maliciosos. Facebook aún no ha comentado sobre el incidente.