Socelars เป็นมัลแวร์ขโมยข้อมูลอันตรายที่มุ่งเป้าไปที่ระบบ Windows เพื่อขโมยข้อมูลการยืนยันตัวตนทางธุรกิจที่ละเอียดอ่อน โดยเฉพาะข้อมูลล็อกอิน Facebook Ads Manager และเซสชันคุกกี้ มัลแวร์นี้ทำงานอย่างเงียบ ๆ ในเบื้องหลังเพื่อเข้าควบคุมบัญชีและดำเนินการฉ้อโกงทางการเงินโดยการเลี่ยงผ่านการป้องกันด้วยรหัสผ่านและการยืนยันตัวตนแบบหลายปัจจัย
Severity: สูง
System Impact:
- ระบบ Windows
- บัญชี Facebook Ads Manager
- เซสชันคุกกี้ของเบราว์เซอร์ (Facebook, Amazon, Google Chrome, Mozilla Firefox)
Technical Attack Steps:
- **การแพร่กระจาย**: มักแฝงตัวเป็นซอฟต์แวร์อ่านไฟล์ PDF และแพร่กระจายผ่านเว็บไซต์ปลอม
- **การสำรวจระบบ (System Reconnaissance)**: รวบรวมข้อมูลคอมพิวเตอร์ เช่น ชื่อเครื่องและ Machine GUIDs จาก Registry รวมถึงตรวจสอบภาษาที่ติดตั้งและใบรับรองระบบ
- **การยกระดับสิทธิ์ (Privilege Escalation)**: เลี่ยงผ่าน User Account Control (UAC) ผ่าน COM auto-elevation เพื่อให้ได้สิทธิ์ที่สูงขึ้นโดยไม่เกิดการแจ้งเตือนด้านความปลอดภัย
- **การขโมยข้อมูล (Data Harvesting)**: เข้าถึงพื้นที่เก็บข้อมูลของเว็บเบราว์เซอร์ (โดยเฉพาะ Google Chrome และ Mozilla Firefox) เพื่อดึงเซสชันคุกกี้ที่ยังคงใช้งานได้
- **การส่งข้อมูลออก (Data Exfiltration)**: ส่งข้อมูลที่ขโมยมาไปยังเซิร์ฟเวอร์ควบคุมของผู้โจมตีเพื่อใช้ในการโจมตีบัญชีหรือขายต่อ
Recommendations:
Short Term:
- ใช้เครื่องมือวิเคราะห์มัลแวร์ เช่น ANY.RUN เพื่อวิเคราะห์ไฟล์ที่น่าสงสัยและตรวจจับพฤติกรรมที่เป็นอันตรายตั้งแต่เนิ่นๆ
- ปรับแต่งเบราว์เซอร์ให้ลบคุกกี้ถาวรเป็นประจำ และลดระยะเวลาความถูกต้องของคุกกี้
- ฝึกอบรมพนักงานให้ระบุความพยายามฟิชชิ่งและหลีกเลี่ยงการดาวน์โหลดซอฟต์แวร์จากแหล่งที่ไม่น่าเชื่อถือ
- อัปเดตเว็บเบราว์เซอร์ทั้งหมดให้เป็นเวอร์ชันปัจจุบันอยู่เสมอ
Long Term:
- ติดตั้งและใช้งานโทเค็นการยืนยันตัวตนแบบฮาร์ดแวร์ เช่น YubiKey หรือคีย์ FIDO เพื่อป้องกันการขโมยเซสชันคุกกี้ผ่านวิธีการพร็อกซี
- ใช้มาตรการนโยบายการเข้าถึงแบบมีเงื่อนไข (Conditional Access Policies) เพื่ออนุญาตการเข้าสู่ระบบเฉพาะจากอุปกรณ์ที่เชื่อถือได้และลงทะเบียนไว้เท่านั้น
- รวมฟีดข้อมูลภัยคุกคาม (Threat Intelligence Feeds) เข้ามาในระบบเพื่อระบุและบล็อกโครงสร้างพื้นฐานของ Socelars ที่เป็นที่รู้จัก
- จัดการฝึกอบรมด้านความปลอดภัยไซเบอร์อย่างต่อเนื่องให้กับพนักงานเพื่อสร้างความตระหนักรู้และแนวปฏิบัติที่ดี
Source: https://cybersecuritynews.com/socelars-malware-attacking-windows-systems/
Share this content: