值得警惕!新型惡意軟件FFDroider正對 Facebook等社交帳戶下手
2022年04月07日
據(jù)Bleeping Computer消息��,Zscaler 的研究人員正追蹤一款名為FFDroider 的新型信息竊取程序����,它正通過竊取存儲在瀏覽器中的憑證和 cookie 以劫持受害者的社交媒體帳戶。
與許多惡意軟件一樣�����,F(xiàn)FDroider通過利用偽裝成破解軟件����、免費軟件、游戲和其他從 torrent 站點下載的文件進行傳播����。在下載安裝時,會創(chuàng)建一個名為“FFDroider”的 Windows 注冊表項����,這也是該惡意軟件名稱的由來。
FFDroid主要針對存儲在 Google Chrome(和基于 Chrome 的瀏覽器)�����、Mozilla Firefox、Internet Explorer 和 Microsoft Edge 中的 cookie 和帳戶憑證���。例如�,該惡意軟件通過濫用Windows Crypt API����,特別是CryptUnProtectData函數(shù),讀取和解析Chromium SQLite cookie和SQLite Credential存儲并解密條目��。
其他瀏覽器的程序也類似���,像濫用InternetGetCookieRxW 和 IEGet ProtectedMode Cookie 等功能�����,竊取存儲在 Explorer 和 Edge 中的所有 cookie�。竊取和解密會產(chǎn)生明文用戶名和密碼�����,然后通過 HTTP POST 請求將其泄露到 C2 服務(wù)器�。
與許多其他竊取密碼的木馬不同,F(xiàn)FDroid 只專注于存儲在網(wǎng)絡(luò)瀏覽器中的社交媒體賬戶和電子商務(wù)網(wǎng)站憑證����,竊取可用于在這些平臺上進行身份驗證的有效 cookie,其目標(biāo)包括 Facebook�、Instagram、亞馬遜�、eBay、Etsy��、Twitter 和 WAX Cloud 錢包���。
例如��,如果攻擊者在 Facebook 上的身份驗證成功�����,F(xiàn)FDroider 會從 Facebook 廣告管理器獲取所有 Facebook 頁面和書簽�����、受害者朋友數(shù)量以及他們的帳戶賬單和付款信息�����,并使用這些信息在社交媒體平臺上開展欺詐性廣告活動�,將惡意軟件傳播給更多的受眾;而如果成功登錄 Instagram,F(xiàn)FDroider 將打開賬戶編輯頁面����,獲取賬戶的電子郵件地址、手機號碼�����、用戶名�、密碼等詳細信息。
由此可見�,F(xiàn)FDroid的套路不僅在于試圖獲取憑證,還試圖登錄相應(yīng)平臺并竊取更多信息�����。在將這些信息發(fā)送到C2后�,F(xiàn)FDroid還會以固定的時間間隔從其服務(wù)器上下載并部署其它模塊。Zscaler 的分析師沒有提供有關(guān)這些模塊的詳細信息��,但這會使威脅更加強大�����。
