2022年04月07日
據Bleeping Computer消息,Zscaler 的研究人員正追蹤一款名為FFDroider 的新型信息竊取程序,它正通過竊取存儲在瀏覽器中的憑證和 cookie 以劫持受害者的社交媒體帳戶。
與許多惡意軟件一樣,FFDroider通過利用偽裝成破解軟件、免費軟件、游戲和其他從 torrent 站點下載的文件進行傳播。在下載安裝時,會創建一個名為“FFDroider”的 Windows 注冊表項,這也是該惡意軟件名稱的由來。
FFDroid主要針對存儲在 Google Chrome(和基于 Chrome 的瀏覽器)、Mozilla Firefox、Internet Explorer 和 Microsoft Edge 中的 cookie 和帳戶憑證。例如,該惡意軟件通過濫用Windows Crypt API,特別是CryptUnProtectData函數,讀取和解析Chromium SQLite cookie和SQLite Credential存儲并解密條目。
其他瀏覽器的程序也類似,像濫用InternetGetCookieRxW 和 IEGet ProtectedMode Cookie 等功能,竊取存儲在 Explorer 和 Edge 中的所有 cookie。竊取和解密會產生明文用戶名和密碼,然后通過 HTTP POST 請求將其泄露到 C2 服務器。
與許多其他竊取密碼的木馬不同,FFDroid 只專注于存儲在網絡瀏覽器中的社交媒體賬戶和電子商務網站憑證,竊取可用于在這些平臺上進行身份驗證的有效 cookie,其目標包括 Facebook、Instagram、亞馬遜、eBay、Etsy、Twitter 和 WAX Cloud 錢包。
例如,如果攻擊者在 Facebook 上的身份驗證成功,FFDroider 會從 Facebook 廣告管理器獲取所有 Facebook 頁面和書簽、受害者朋友數量以及他們的帳戶賬單和付款信息,并使用這些信息在社交媒體平臺上開展欺詐性廣告活動,將惡意軟件傳播給更多的受眾;而如果成功登錄 Instagram,FFDroider 將打開賬戶編輯頁面,獲取賬戶的電子郵件地址、手機號碼、用戶名、密碼等詳細信息。
由此可見,FFDroid的套路不僅在于試圖獲取憑證,還試圖登錄相應平臺并竊取更多信息。在將這些信息發送到C2后,FFDroid還會以固定的時間間隔從其服務器上下載并部署其它模塊。Zscaler 的分析師沒有提供有關這些模塊的詳細信息,但這會使威脅更加強大。