Facebook reklamný systém napadol zákerný malvér Socelars: Infikuje hlavne Windows a kradne citlivé dáta
Bezpečnostní analytici varujú pred hackerskou kampaňou, ktorá sa šíri cez Facebook reklamy a napáda Windows PC.
Bezpečnostní analytici z ANY RUN odhalili Socelars, ktorý patrí medzi malvéry, ktoré sa nezameriavajú na počítač ako taký, ale na účty a prístupy, z ktorých firmy žijú. Nešifruje dáta, nezobrazuje výkupné a nesnaží sa na seba upozorniť. Jeho cieľom je však získať prístup k účtom v reklamných a obchodných službách a rýchlo ich speňažiť.
Podľa verejných analýz sa Socelars špecializuje na krádež session cookies z prehliadačov, najmä v súvislosti so službami ako Facebook Ads Manager alebo Amazon. Útočník sa tak dostane do účtu bez zadávania hesla a bez čakania na schválenia či upozornenia. Pre firmy, ktoré spravujú reklamu, e‑shop alebo klientské kampane, ide o priame finančné riziko.
„Útočník sa po krádeži cookies správa ako legitímny používateľ, čo výrazne sťažuje včasné odhalenie incidentu,“ uvádza analýza bezpečnostných expertov z ANY.RUN.
Nenápadná infekcia
Socelars sa šíri najmä cez sociálne inžinierstvo. V praxi to často znamená falošný inštalátor PDF čítačky alebo iného „užitočného“ nástroja, ktorý pôsobí dôveryhodne a zapadá do bežného pracovného dňa. Používateľ program spustí, nič podozrivé si nevšimne a malvér začne pracovať na pozadí.
Po spustení Socelars najskôr zmapuje systém. Zistí názov počítača, jazykové nastavenia, sieťové parametre a ďalšie detaily, ktoré útočníkovi pomôžu rozhodnúť sa, ako ďalej postupovať. Následne získa vyššie oprávnenia v systéme a pustí sa do zberu dát z prehliadača.
Cieľom nie sú heslá ako také, ale aktívne relácie. Práve tie umožňujú okamžitý prístup k firemným službám a reklamnými účtom.
Neprehliadni
Na prvý pohľad zvláštna, no dôležitá stopa
Analytici z ANY.RUN si všimli zaujímavý detail. Táto verzia Socelars vytvára v systéme tzv. mutex s názvom „patatoes“. Mutex je objekt v pamäti, ktorý zabezpečuje, aby sa malware nespustil viackrát naraz.
Prečo je to dôležité? Pre IT administrátora ide o jednoznačný identifikátor. Ak sa v diagnostike systému objaví tento názov, nejde o náhodný vírus, ale konkrétne o Socelars. Takáto stopa umožňuje rýchlejšiu reakciu a presnejšie vyhodnotenie incidentu bez zdĺhavého hádania.
Socelars sa na začiatku nespája priamo so servermi útočníka. Namiesto toho využíva službu iplogger.org, ktorá pôsobí ako legitímny nástroj na zaznamenávanie IP adries.
Týmto krokom útočník získa polohu obete, IP adresu, typ prehliadača a čas infekcie ešte pred samotnou krádežou dát. Zároveň sa vyhne základným bezpečnostným kontrolám, pretože mnohé firemné firewally komunikáciu s IP Loggerom neblokujú.
Malvér teda takto jednoducho prejde pod radarom základnej sieťovej ochrany a bezpečnostný tím si nič nevšimne.
Zmena hesla už nestačí
Najväčším prekvapením pre manažérov býva zistenie, že zmena hesla útok nezastaví. Keďže Socelars pracuje so session cookies, útočník zostáva prihlásený aj po zmene prihlasovacích údajov.
„V tomto type incidentu nepomáha klasická reakcia typu zmena hesla,“ upozorňujú analytici: „Je potrebné zrušiť všetky aktívne relácie.“
V praxi to znamená, že pri podozrení na infekciu musíš v nastaveniach služby, napríklad Facebook Ads Managera, použiť možnosť „Odhlásiť zo všetkých zariadení“. Iba tento krok zneplatní ukradnuté cookies a odstrihne útočníka od účtu.
Socelars neútočí na infraštruktúru, ale na peniaze a reputáciu. Útočník môže spustiť podvodné kampane, vyčerpať reklamný rozpočet alebo predať kompromitované účty ďalej. Pri agentúrach môže jeden infikovaný počítač ohroziť viacerých klientov naraz.
Práve preto zohráva kľúčovú úlohu včasná detekcia správania, nie len kontrola súborov. Nástroje ako ANY.RUN Threat Intelligence Lookup umožňujú rýchlo overiť podozrivé indikátory, porovnať ich s existujúcimi vzorkami a skrátiť čas reakcie.
Socelars ukazuje, že dnešné útoky sa nesnažia zničiť systém, no dokážu ho šikovne zneužiť, aby sa obohatili na úkor užívateľov.
