据BleepingComputer报道,Zscaler研究人员正在追踪一种名为FFDroider的新型信息窃取程序,该程序窃取存储在浏览器中的凭据和cookie,以劫持受害者的??社交媒体账户。与许多恶意软件一样,FFDroider通过利用伪装成破解软件、免费软件、游戏和其他从torrent站点下载的文件进行传播。下载并安装后,会创建一个名为“FFDroider”的Windows注册表项,这是恶意软件名称的来源。FFDroider在受感染的系统上添加注册表项(Zscaler)FFDroid主要针对存储在GoogleChrome(和基于Chrome的浏览器)、MozillaFirefox、InternetExplorer和MicrosoftEdge中的cookie和帐户凭据。例如,恶意软件通过滥用WindowsCryptAPI(特别是CryptUnProtectData函数)读取和解析ChromiumSQLitecookie和SQLiteCredential存储和解密条目。其他浏览器的程序也类似,滥用InternetGetCookieRxW和IEGetProtectedModeCookie等函数窃取Explorer和Edge中存储的所有cookie。窃取和解密会产生明文用户名和密码,然后通过HTTPPOST请求将其泄露给C2服务器。FFDroid从IE窃取Facebookcookies(Zscaler)与许多其他密码窃取木马不同,FFDroid只关注存储在网络浏览器中的社交媒体帐户和电子商务网站凭据,窃取可用于在这些平台上进行身份验证的有效凭据Cookies,其目标包括Facebook、Instagram、亚马逊、eBay、Etsy、Twitter和WAXCloud钱包。例如,如果攻击者在Facebook上的身份验证成功,FFDroider会从FacebookAdsManager中获取所有Facebook页面和书签、受害者的好友数量以及他们的帐户账单和支付信息,并使用这些信息在Facebook上开展活动。社交媒体平台欺诈性广告活动,将恶意软件传播给更多受众;成功登录Instagram后,FFDroider会打开账户编辑页面,获取账户的邮箱地址、手机号码、用户名、密码等详细信息。FFDroid分别从Facebook和Instagram窃取cookies(Zscaler)。可见,FFDroid的套路不仅是试图获取凭证,还试图登录相应的平台,窃取更多信息。将此信息发送给C2后,FFDroid还会定期从其服务器下载并部署其他模块。Zscaler的分析师没有提供有关这些模块的详细信息,但这将使威胁更加强大。参考来源:https://www.bleepingcomputer.com/news/security/new-ffdroider-malware-steals-facebook-instagram-twitter-accounts/
