Socelarsマルウェアの概要と特徴

セキュリティ研究者が、Windowsユーザーを狙った情報窃取型トロイの木馬「Socelars（ソケラーズ）」の動向を追跡しています。このマルウェアは、ファイルを破壊するのではなく、ブラウザベースの認証情報やシステム識別子を密かに収集することに特化しています。攻撃者はこれにより、被害者の既存の「ログイン済み」状態を再利用し、オンラインサービスへのアクセスを乗っ取ることが可能になります。

公開されている報告によると、SocelarsはFacebook広告マネージャーからの情報窃取に関連付けられており、盗まれたセッションは広告アカウントの乗っ取りを通じて直接的な金銭的被害につながる可能性があります。また、研究者たちは、FacebookやAmazonのセッションクッキーを窃取し、パスワードなしでアカウントをハイジャックする能力があることを指摘しています。

詳細な攻撃手法と感染経路

過去のキャンペーンでは、Socelarsは一般的なソーシャルエンジニアリングの手口である偽のPDFリーダー/エディター（「PDFreader」などと称されることが多い）を誘い文句に配布されていました。実行されると、偽のインストーラーは「pdfreader2019」フォルダを作成し、バックグラウンドでデータ窃取を開始するため、ユーザーは異変に気づきにくい構造になっています。

アクセスを窃取するため、このトロイの木馬は、ChromeやFirefoxなどのブラウザのクッキー保存領域（SQLiteデータベースなど）からクッキーデータを読み取ることが報告されています。これにより収集された情報は、FacebookのURLに接続し、広告アカウントIDやプラットフォームAPIへの追加アクセスをサポートするアクセストークンなど、広告運用に関連するアイテムを抽出するために悪用されます。

最近のサンドボックスレポートでは、Socelarsがシステムチェックと偵察から開始し、COM自動昇格（cmlua.dllを介したICMLuaUtil）を使用したユーザーアカウント制御（UAC）バイパスを通じて特権昇格を試みることが記述されています。また、観察された活動では、マルウェアは「patatoes」という名前のミューテックスを作成し、iplogger[.]orgサービスに接触した後、意図的に終了（クラッシュとして表示）することが確認されています。

ビジネスへの影響と推奨される防御策

ビジネスにとっての実用的なリスクは、盗まれた広告セッションアクセスが悪用され、不正なキャンペーンが開始されたり、予算が流用されたり、侵害されたアカウントが転売されたりする可能性があることです。さらに、盗まれた請求情報や支払い情報が金銭的な影響を深めることもあります。

Socelarsが狙うデータには、以下のような広範な情報が含まれます。

• 広告関連のメールアドレス
• セッションクッキー
• アクセストークン
• ページ/アカウントの詳細
• 支出制限
• クレジットカードまたはPayPal関連情報

これらの情報は、攻撃者によって迅速に収益化される可能性があります。防御側は、不審な「PDFリーダー」のダウンロード元をブロックし、信頼できないインストーラーを避け、クッキーデータベースへの異常なアクセスを検出するブラウザおよびエンドポイント制御を強化することで、リスクへの露出を減らすことができます。

元記事: https://gbhackers.com/socelars-malware-targets-windows-systems/