Um novo stealer chamado Socelars foi observado em campanhas que visam estações Windows usadas por equipes de marketing e agências digitais. A ameaça coleciona dados de sessão em navegadores para permitir takeover de contas e fraude publicitária.
Descoberta e escopo
Pesquisas públicas e análises de sandbox indicam que o Socelars finge ser um leitor de PDF ou outro aplicativo legítimo e é distribuído por sites falsos. Segundo análise citada pela publicação, o malware realiza reconhecimento do sistema, contornando controles locais antes de exfiltrar dados para servidores controlados pelos invasores.
Vetor e técnica de roubo
O comportamento documentado descreve três estágios: (1) reconhecimento do host — coletando nomes de máquina, Machine GUID e certificados instalados; (2) elevação de privilégios por meio de bypass do User Account Control via COM auto-elevation; (3) coleta de sessões ativas dos navegadores.
O componente de roubo de credenciais foca em cookies persistentes armazenados em bases SQLite de navegadores como Google Chrome e Mozilla Firefox. Esses cookies permitem acesso imediato a sessões autenticadas — inclusive em plataformas como Facebook e Amazon — sem necessidade de senhas, e em certos cenários podem contornar controles de MFA baseados em cookie.
Impacto e alcance
Organizações mais expostas são agências de publicidade, equipes que gerenciam múltiplas contas do Facebook Ads Manager e pequenos e médios com controles de endpoint mais fracos. A publicação alerta que uma estação comprometida pode permitir que criminosos drenen orçamentos de campanhas, executem fraudes com anúncios ou revendam acessos em mercados ilícitos.
Não há dados públicos firmes na matéria sobre número de vítimas ou infraestrutura usada pelos atacantes; a avaliação presente baseia-se em amostras de sandbox e observações de comportamento.
Mitigações práticas
- Atualizar navegadores e remover cookies persistentes quando possível; reduzir janelas de validade de sessão.
- Adotar autenticação forte baseada em hardware (chaves FIDO/YubiKey) para contas críticas, especialmente em ferramentas de anúncios.
- Aplicar políticas de acesso condicional que limitem logins a dispositivos gerenciados e a locais de rede aprovados.
- Bloquear downloads de software por fontes não verificadas e usar sandboxes/analyses (ex.: ANY.RUN) para investigar arquivos suspeitos.
- Treinar equipes de marketing para detectar phishing e evitar instalação de ferramentas não sancionadas.
O que ainda não se sabe
A matéria não fornece métricas de alcance (número de vítimas, domínios de exfiltração) nem atribuição a um ator específico. Sem indicadores públicos adicionais, é difícil avaliar amplitude da campanha ou identificar infraestrutura persistente.
Observação final
Equipes de segurança de empresas que gerenciam contas de anúncios devem priorizar revisão de endpoints de operadores e acelerar a adoção de MFA hardware-backed e políticas de sessão curtas enquanto investigam evidências de comprometimento.