值得警惕!新型惡意軟件FFDroider正對 Facebook等社交帳戶下手
2022年04月07日
據(jù)Bleeping Computer消息�����,Zscaler 的研究人員正追蹤一款名為FFDroider 的新型信息竊取程序����,它正通過竊取存儲在瀏覽器中的憑證和 cookie 以劫持受害者的社交媒體帳戶。
與許多惡意軟件一樣����,F(xiàn)FDroider通過利用偽裝成破解軟件�����、免費(fèi)軟件���、游戲和其他從 torrent 站點(diǎn)下載的文件進(jìn)行傳播�。在下載安裝時�����,會創(chuàng)建一個名為“FFDroider”的 Windows 注冊表項,這也是該惡意軟件名稱的由來���。
FFDroid主要針對存儲在 Google Chrome(和基于 Chrome 的瀏覽器)��、Mozilla Firefox���、Internet Explorer 和 Microsoft Edge 中的 cookie 和帳戶憑證。例如���,該惡意軟件通過濫用Windows Crypt API���,特別是CryptUnProtectData函數(shù),讀取和解析Chromium SQLite cookie和SQLite Credential存儲并解密條目�。
其他瀏覽器的程序也類似,像濫用InternetGetCookieRxW 和 IEGet ProtectedMode Cookie 等功能�,竊取存儲在 Explorer 和 Edge 中的所有 cookie。竊取和解密會產(chǎn)生明文用戶名和密碼�,然后通過 HTTP POST 請求將其泄露到 C2 服務(wù)器。
與許多其他竊取密碼的木馬不同����,F(xiàn)FDroid 只專注于存儲在網(wǎng)絡(luò)瀏覽器中的社交媒體賬戶和電子商務(wù)網(wǎng)站憑證�,竊取可用于在這些平臺上進(jìn)行身份驗證的有效 cookie��,其目標(biāo)包括 Facebook����、Instagram、亞馬遜����、eBay、Etsy�、Twitter 和 WAX Cloud 錢包。
例如�����,如果攻擊者在 Facebook 上的身份驗證成功�,F(xiàn)FDroider 會從 Facebook 廣告管理器獲取所有 Facebook 頁面和書簽��、受害者朋友數(shù)量以及他們的帳戶賬單和付款信息����,并使用這些信息在社交媒體平臺上開展欺詐性廣告活動,將惡意軟件傳播給更多的受眾;而如果成功登錄 Instagram,F(xiàn)FDroider 將打開賬戶編輯頁面����,獲取賬戶的電子郵件地址、手機(jī)號碼���、用戶名��、密碼等詳細(xì)信息�。
由此可見����,F(xiàn)FDroid的套路不僅在于試圖獲取憑證,還試圖登錄相應(yīng)平臺并竊取更多信息�����。在將這些信息發(fā)送到C2后��,F(xiàn)FDroid還會以固定的時間間隔從其服務(wù)器上下載并部署其它模塊��。Zscaler 的分析師沒有提供有關(guān)這些模塊的詳細(xì)信息��,但這會使威脅更加強(qiáng)大��。
