Новый похититель информации под названием FFDroider крадет учетные данные и куки, хранящиеся в браузерах, дле перехвата учетных записей своих жертв в социальных сетях.
Аккаунты в социальных сетях, особенно проверенные, являются привлекательной целью для хакеров, поскольку субъекты угроз могут использовать их для различных вредоносных действий, включая проведение криптовалютных афер и распространение вредоносного ПО.
Эти аккаунты становятся еще более привлекательными, когда они имеют доступ к рекламным платформам социальных сайтов, что позволяет субъектам угроз использовать украденные учетные данные для запуска вредоносной рекламы.
Распространение через бреши в программном обеспечении
Исследователи из Zscaler отслеживали новый зловред, похищающий информацию, и его распространение и опубликовали подробный технический анализ, основанный на последних данных.
Как и многие другие вредоносные программы, FFDroider распространяется через программные крэки (ломанные версии ПО), бесплатное программное обеспечение, игры и другие файлы, загружаемые с торрент-сайтов.
При установке этих программ внедрение FFDroider'a происходит скрытно для пользователя. В системе вредоносное ПО маскируется под настольное приложение Telegram, чтобы избежать обнаружения.
После запуска "малварь" создает ключ реестра Windows с именем "FFDroider", что и послужило основанием для названия новой вредоносной программы.
Специалисты по кибербезопасности из Zscaler составили схему атаки, иллюстрирующую процесс установки вредоносной программы на устройства жертв.
Целью FFDroider'a являются файлы cookie и учетные данные, хранящиеся в Google Chrome (и браузерах на базе Chrome), Mozilla Firefox, Internet Explorer и Microsoft Edge.
Например, вредоносная программа считывает и анализирует куки Chromium SQLite и хранилища учетных данных SQLite и расшифровывает записи, используя Windows Crypt API, в частности, функцию CryptUnProtectData.
Процедура аналогична для других браузеров: такие функции, как InternetGetCookieRxW и IEGet ProtectedMode Cookie, используются для перехвата всех файлов cookie, хранящихся в Explorer и Edge.
В результате кражи и расшифровки получаются имена пользователей и пароли в открытом виде, которые затем передаются через HTTP POST-запрос на C2-сервер; в данной кампании
http[:]//152[.]32[.]228[.]19/seemorebty.
Цель - социальные сети
В отличие от многих других троянов, похищающих пароли, операторов FFDroider не интересуют все учетные данные, хранящиеся в веб-браузерах.
Вместо этого разработчики вредоносной программы сосредоточились на краже учетных данных для аккаунтов социальных сетей и сайтов электронной коммерции, включая Facebook*, Instagram*, Amazon, eBay, Etsy, Twitter и портал для облачного кошелька WAX Cloud.
Цель состоит в том, чтобы украсть действительные файлы cookie, которые могут быть использованы для аутентификации на этих платформах, и это проверяется вредоносной программой на лету во время процедуры.
В случае успешной аутентификации на Facebook*, например, FFDroider получает все страницы и закладки аккаунта, количество друзей жертвы, а также информацию о счетах и платежах из Facebook-Ads-manager.
Угрозы могут использовать эту информацию для запуска мошеннических рекламных кампаний на платформе социальных сетей и продвижения своего вредоносного ПО на большую аудиторию.
При успешном входе в Instagram* FFDroider открывает веб-страницу редактирования аккаунта, чтобы получить адрес электронной почты, номер мобильного телефона, имя пользователя, пароль и другие данные.
Это интересный аспект функциональности похитителя информации, поскольку он не просто пытается получить учетные данные, а войти на платформу и украсть еще больше информации.
После кражи информации и отправки всего на C2, FFDroider фокусируется на загрузке дополнительных модулей со своих серверов через фиксированные промежутки времени.
Аналитики Zscaler не предоставили подробностей об этих модулях, но наличие функции загрузчика делает угрозу еще более мощной и опасной.
Чтобы избежать этого типа вредоносного ПО, пользователям следует держаться подальше от загрузок файлов из неизвестных источников программного обеспечения. В качестве дополнительной меры предосторожности загружаемые файлы можно загрузить на VirusTotal, чтобы проверить, не определят ли антивирусные решения их как вредоносное ПО.
--------
Instagram*, Facebook* - принадлежат Meta*, признанной в РФ экстремистской, деятельность организации запрещена территории РФ.