Los atacantes están distribuyendo un troyano que roba información disfrazado de lector de PDF que roba las cookies de sesión de Facebook y Amazon, así como datos confidenciales del Administrador de anuncios de Facebook.
MalwareHunterTeam encontró numerosos sitios que distribuían un falso programa de edición de PDF llamado 'PDFreader'.
Los ejecutables distribuidos desde este sitio están firmados por un certificado digital emitido por Sectigo a "Rakete Content Gmbh".
VirusTotal detecta este troyano como Socelars, pero también comparte características con otros troyanos, como AdKoob y Stresspaint , que también intentan extraer y robar datos de Facebook de varias URL.
Según Vitali Kremez , quien analizó este troyano, no hay mucha similitud de código entre este troyano y los demás, por lo que puede inspirarse en lugar de evolucionar a partir de infecciones anteriores.
"Eso dice que debe ser una variante más nueva (quizás inspirada) o una mejorada significativamente respecto a la generación anterior. Evalúo que esto podría ser solo el comienzo de la evolución de este tipo de malware dirigido a proveedores de anuncios y redes sociales", dijo Kremez a BleepingCOmputer. com
Se dirige al Administrador de anuncios de Facebook
Cuando se lanzó, Kremez le dijo a BleepingComputer que el troyano primero intentará robar cookies de sesiones de Facebook de Chrome y Firefox accediendo a la base de datos Cookies SQLite.
Una vez que se recupera la cookie, se utilizará para conectar una variedad de URL de Facebook donde se extrae la información.
https://www.facebook.com/bookmarks/pages?ref_type=logout_gear
https://secure.facebook.com/settings
https://secure.facebook.com/ads/manager/account_settings/account_billing/
La URL account_billing se usará para extraer el account_id y access_token del usuario, que luego se usará en una llamada a la API Graph de Facebook para robar datos de la configuración del Administrador de anuncios del usuario.
Los datos robados, que consisten en cookies de sesión, tokens de acceso, identificadores de cuenta, dirección de correo electrónico publicitario, páginas asociadas, información de tarjeta de crédito (número, fecha de vencimiento), correo electrónico de PayPal, saldos de anuncios, límites de gastos, etc., se compilan y se envían a El servidor de comando y control del atacante.
Con la inminente temporada electoral de EE. UU. Y los actores patrocinados por el estado que abusaron de los anuncios de Facebook en el pasado, es importante que cualquiera que realice campañas políticas sepa que el malware está dirigido a la infraestructura publicitaria de Facebook.
"Además, creo que a la luz de las próximas elecciones y las intensificadas campañas de FB que ejecutan mensajes políticos, esta herramienta es casi como un malware de espionaje que busca posibles narrativas políticas (e información sobre la cuenta)", dijo Kremez a BleepingComputer.com.
Para empeorar las cosas, con la información robada por los atacantes, podrían usar estas cookies de Facebook robadas para acceder a las cuentas y usarlas para crear sus propias campañas publicitarias.
Roba las cookies de sesión de Amazon
Si bien el objetivo principal de este troyano es robar datos de Facebook, el malware también intentará robar cookies de sesión para Amazon.com y Amazon.co.uk.
A diferencia de la rutina de Facebook, esta cookie simplemente se enviará de vuelta al atacante y el troyano no la utilizará para extraer ninguna otra información. Una vez más, si el atacante obtiene acceso a la cookie de sesión de Amazon de un usuario, podrá iniciar sesión como ese usuario.
Distribuido a través de paquetes de adware
Como los sitios que promocionan el programa 'PDFreader' no tienen enlaces activos que permitan a un usuario descargar el programa, BleepingComputer investigó cómo se puede distribuir este malware.
Después de seguir el rastro de otro malware que se comunicaba con uno de los dominios de PDFreader, descubrimos que muchas de las solicitudes a los dominios de PDFreader provienen de paquetes de adware que instalan programas no deseados como YeaDesktop o que fingen ser software con derechos de autor .
Como este troyano se ejecuta silenciosamente y realiza todas sus tareas en segundo plano, los usuarios no se darán cuenta de que se instaló nada y solo verán cualquier adware o software con derechos de autor que se haya descargado.
Fecha actualización el 2021-12-03. Fecha publicación el 2019-12-03. Categoría: troyano Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer Version movil