公告:恶意软件FFDroider正对 Facebook等社交帐户下手
据BleepingComputer消息,Zscaler的研究人员正追踪一款名为FFDroider的新型信息窃取程序,它正通过窃取存储在浏览器中的凭证和cookie以劫持受害者的社交媒体帐户。
与许多恶意软件一样,FFDroider通过利用伪装成破解软件、免费软件、游戏和其他从torrent站点下载的文件进行传播。在下载安装时,会创建一个名为“FFDroider”的Windows注册表项,这也是该恶意软件名称的由来。
FFDroider在受感染的系统上添加注册表项(Zscaler)
FFDroid主要针对存储在GoogleChrome(和基于Chrome的浏览器)、MozillaFirefox、InternetExplorer和MicrosoftEdge中的cookie和帐户凭证。例如,该恶意软件通过滥用WindowsCryptAPI,特别是CryptUnProtectData函数,读取和解析ChromiumSQLitecookie和SQLiteCredential存储并解密条目。
其他浏览器的程序也类似,像滥用InternetGetCookieRxW和IEGetProtectedModeCookie等功能,窃取存储在Explorer和Edge中的所有cookie。窃取和解密会产生明文用户名和密码,然后通过HTTPPOST请求将其泄露到C2服务器。
FFDroid从IE窃取Facebookcookie(Zscaler)
与许多其他窃取密码的木马不同,FFDroid只专注于存储在网络浏览器中的社交媒体账户和电子商务网站凭证,窃取可用于在这些平台上进行身份验证的有效cookie,其目标包括Facebook、Instagram、亚马逊、eBay、Etsy、Twitter和WAXCloud钱包。
例如,如果攻击者在Facebook上的身份验证成功,FFDroider会从Facebook广告管理器获取所有Facebook页面和书签、受害者朋友数量以及他们的帐户账单和付款信息,并使用这些信息在社交媒体平台上开展欺诈性广告活动,将恶意软件传播给更多的受众;而如果成功登录Instagram,FFDroider将打开账户编辑页面,获取账户的电子邮件地址、手机号码、用户名、密码等详细信息。
FFDroid分别从Facebook和Instagram窃取cookie(Zscaler)
由此可见,FFDroid的套路不仅在于试图获取凭证,还试图登录相应平台并窃取更多信息。在将这些信息发送到C2后,FFDroid还会以固定的时间间隔从其服务器上下载并部署其它模块。Zscaler的分析师没有提供有关这些模块的详细信息,但这会使威胁更加强大。
