近日,一种新的信息窃取程序FFDroider出现了,它依靠存储在浏览器中的凭据和cookie来窃取受害者的社交媒体账户。社交媒体账户,尤其是经过验证的账户,对黑客非常有吸引力,因为它们可用于各种恶意活动,包括进行加密货币诈骗和分发恶意软件。当这些帐户获得对社交网站广告平台的访问权限时,黑客可以使用窃取的凭据运行恶意广告。Zscaler是一家通过破解软件进行分发的云计算安全服务提供商,其研究人员一直在跟踪恶意软件及其传播,并根据最近的样本发布了详细的技术分析。与许多恶意软件一样,FFDroider通过破解软件、免费软件、游戏和从torrent站点下载的其他文件传播。在下载和安装其他软件或文件时,FFDroider会伪装成Telegram桌面应用程序来逃避检测并完成安装。启动后,恶意软件会创建一个名为“FFDroider”的Windows注册表项。FFDroider在受感染系统(Zscaler)上创建一个注册表项下图显示了研究人员编制的攻击流程图,说明了恶意软件是如何安装在受害者的设备上的。FFDroider感染和操作过程(Zscaler)FFDroider以存储在GoogleChrome、MozillaFirefox、InternetExplorer和MicrosoftEdge中的cookie和帐户凭据为目标。例如,恶意软件滥用WindowsCryptAPI,特别是CryptUnProtectData,来读取和解析ChromiumSQLitecookie和SQLiteCredential存储并解密条目。其他浏览器的窃取过程也类似,即利用InternetGetCookieRxW、IEGetProtectedModeCookie等函数抓取Explorer和Edge中存储的所有cookie。该恶意软件执行该功能并从IE中窃取Facebookcookie(Zscaler)。窃取解密后会生成明文用户名和密码,然后通过HTTPPOST请求泄露给C2服务器。通过POST请求泄露被盗数据(Zscaler)以社交媒体为目标与其他木马不同,FFDroider的运营商对存储在浏览器中的所有帐户凭据不感兴趣,而是专注于窃取可以在Facebook、Instagram、Amazon、eBay上找到的帐户,Etsy、Twitter和WAX云钱包是有效的cookie,用于对社交媒体帐户和电子商务网站(如、Etsy、Twitter和WAX云钱包)进行身份验证,在此期间对恶意软件进行动态测试。从浏览器中窃取Facebookcookies(Zscaler)以Facebook为例,如果身份验证成功,FFDroider会从FacebookAdsManager中获取所有页面和书签、受害者好友数量以及账单和支付信息。威胁行为者可能会使用此信息在社交媒体平台上开展欺诈性广告活动,并将其恶意软件推广给更多人。如果您成功登录Instagram,FFDroider将打开帐户编辑页面,获取电子邮件地址、手机号码、用户名、密码等详细信息。试试被盗的Instagramcookie(Zscaler)FFDroider不仅可以窃取凭据,还可以登录平台并获取更多信息。在窃取信息并将所有内容发送到C2服务器后,恶意软件专注于定期从服务器下载其他模块。Zscaler的分析师没有提供有关这些模块的更多细节,但FFDroider具有下载器功能,使其更具威胁性。为避免安装恶意软件,人们应远离非法下载和未知软件来源。作为额外的预防措施,可以将下载内容上传到VirusTotal恶意软件分析平台,以检测它们是否是恶意软件。
