据Bleeping Computer信息,Zscaler 的分析工作人员正跟踪一款名叫FFDroider 的新式信息窃取程序流程,它正根据窃取储存在网页中的凭证和 cookie 以挟持受害人的社交媒体账号。
与很多恶意软件一样,FFDroider根据运用装扮成破解软件、专业软件、手机游戏和别的从 torrent 网站下载的资料开展散播。在下载安裝时,会建立一个名叫“FFDroider”的 Windows 注册表项,这也是该恶意软件名字的来历。
FFDroider 在受传染的系統上加上注册表项 (Zscaler)
FFDroid关键对于储存在 Google Chrome(和根据 Chrome 的电脑浏览器)、Mozilla Firefox、Internet Explorer 和 Microsoft Edge 中的 cookie 和账号凭证。例如,该恶意软件根据乱用Windows Crypt API,尤其是CryptUnProtectData函数公式,载入和分析Chromium SQLite cookie和SQLite Credential储存并破译内容。
别的电脑浏览器的流程也相近,像乱用InternetGetCookieRxW 和 IEGet ProtectedMode Cookie 等作用,窃取储存在 Explorer 和 Edge 中的全部 cookie。窃取和破译会造成密文账户密码,随后根据 HTTP POST 要求将其泄漏到 C2 网络服务器。
FFDroid从 IE窃取 Facebook cookie (Zscaler)
与很多别的窃取登陆密码的木马病毒不一样,FFDroid 只致力于储存在网页浏览器中的社交媒体帐户和电商系统凭证,窃取可用来在这种网站上开展身份认证的合理 cookie,其总体目标包含 Facebook、Instagram、amazon、eBay、Etsy、Twitter 和 WAX Cloud 钱夹。
例如,假如网络攻击在 Facebook 上的身份认证取得成功,FFDroider 会从 Facebook 广告宣传管理工具获得全部 Facebook 网页页面和便签、受害人好朋友总数及其它们的账号信用卡账单和支付信息,并运用这种信息在社交媒体服务平台上进行非法行为广告宣传主题活动,将恶意软件散播给越来越多的受众群体;而假如取得成功登陆 Instagram,FFDroider 将开启帐户编写网页页面,获得帐户的电子邮箱地址、手机号、登录名、登陆密码等详尽信息。
FFDroid各自从Facebook和Instagram窃取 cookie(Zscaler)
不难看出,FFDroid的招数不但取决于尝试获得凭证,还尝试登陆相对应服务平台并窃取大量信息。在将这种信息发送至C2后,FFDroid还会继续以确定的间隔时间从其网络服务器上下载并布署其他控制模块。Zscaler 的投资分析师沒有给予相关这种板块的详尽信息,但这会使危害更为强劲。
参照由来:https://www.bleepingcomputer.com/news/security/new-ffdroider-malware-steals-facebook-instagram-twitter-accounts/