Исследователи кибербезопасности предупреждают о двух разных вредоносных программах для кражи информации, называемых ffdroid и Lightning Stealer, которые способны перекачивать данные и запускать дальнейшие атаки.
"Разработанный для отправки украденных учетных данных и файлов cookie на сервер Command & Control, ffdroid маскируется на устройствах жертвы, чтобы выглядеть как приложение для обмена мгновенными сообщениями Telegram", - говорится в отчете исследователей Zscaler ThreatLabZ Авинаша Кумара и Нираджа Шивтаркара, опубликованном на прошлой неделе.
Похитители информации, как следует из названия, оснащены для собирают конфиденциальную информацию со скомпрометированных устройств, такую как нажатия клавиш, скриншоты, файлы, сохраненные пароли и файлы cookie из веб-браузеров, которая затем передаётся на удаленный домен, контролируемый злоумышленником.
Ffdroid распространяется через взломанные версии установщиков и бесплатных программ с основной целью кражи файлов cookie и учетных данных, связанных с популярными социальными сетями и платформами электронной коммерции, и использования разграбленных данных для входа в учетные записи и захвата другой личной информации, связанной с учетной записью.
Веб-браузеры, нацеленные на вредоносное ПО:
- Google Chrome,
- Mozilla Firefox,
- Internet Explorer
- Microsoft Edge.
Целевые веб-сайты охватывают западные соц.сети, Amazon, eBay и Etsy.
"Похититель подписывается на социальные медиа-платформы жертв, используя украденные файлы cookie, и извлекает информацию об учетной записи, рекламного кабинета, для запуска вредоносных рекламных объявлений с сохраненными способами оплаты через API для кражи личной информации", - сказали исследователи.
Ffdroid также поставляется с функциональностью загрузчика для обновления себя новыми модулями с сервера обновлений, что позволяет ему расширять свой набор функций со временем.
Lightning stealer работает аналогичным образом, он может украсть токены Discord, данные из криптовалютных кошельков и детали, относящиеся к файлам cookie, паролям, кредитным картам и истории поиска из более чем 30 браузеров на базе Firefox и Chromium, все из которых эксфильтрируются на сервер в формате JSON.
"Похитители информации внедряют новые методы, чтобы стать более уклончивыми", - сказали исследователи Cyble, добавив, что "группы вымогателей используют похитителей информации для получения начального доступа к сети и, в конечном итоге, эксфильтрации конфиденциальных данных".
В феврале 2022 года Cyble Research раскрыла детали новой угрозы под названием Jester Stealer, которая предназначена для кражи и передачи злоумышленникам учетных данных для входа, файлов cookie, информации о кредитных картах, а также данных из менеджеров паролей, чат-мессенджеров, почтовых клиентов, крипто-кошельков и игровых приложений.
С тех пор в дикой природе появилось по крайней мере три разных info-stealers, включая BlackGuard, Mars Stealerи, последний из которых был замечен в кампаниях malspam для сбора конфиденциальных данных.