Notícias

Novo malware FFDroider rouba contas do Facebook, Instagram e Twitter

Claylson Martins
Novo malware FFDroider rouba contas do Facebook, Instagram e Twitter

Um novo ladrão de informações chamado FFDroider surgiu, roubando credenciais e cookies armazenados em navegadores para sequestrar as contas de mídia social das vítimas. Portanto, o novo malware FFDroider rouba contas do Facebook, Instagram e Twitter.

Contents
Novo malware FFDroider rouba contas do Facebook, Instagram e Twitter. A distribuição ocorre por meio de cracks de softwareSegmentação de mídias sociais

As contas de mídia social, especialmente as verificadas, são um alvo atraente para hackers, pois os agentes de ameaças podem usá-las para várias atividades maliciosas, incluindo a realização de golpes de criptomoeda  e distribuição de malware.

Essas contas são ainda mais atraentes quando têm acesso às plataformas de anúncios do site social, permitindo que os agentes de ameaças usem as credenciais roubadas para executar anúncios maliciosos.

Novo malware FFDroider rouba contas do Facebook, Instagram e Twitter. A distribuição ocorre por meio de cracks de software

Pesquisadores da Zscaler estão rastreando o novo ladrão de informações e sua disseminação e publicaram uma análise técnica detalhada hoje com base em amostras recentes.

Como muitos malwares, o FFDroider se espalha por meio de cracks de software, software gratuito, jogos e outros arquivos baixados de sites de torrent.

Ao instalar esses downloads, o FFDroder também será instalado, mas disfarçado como o aplicativo de desktop Telegram para evitar a detecção.

Uma vez lançado, o malware criará uma chave de registro do Windows chamada “FFDroider”, que levou à nomeação desse novo malware.

FFDroder adicionando uma chave de registro no sistema infectado (Zscaler)

pesquisador do Zscaler montou um fluxograma de ataque que ilustra como o malware é instalado nos dispositivos das vítimas.

Infecção e fluxo operacional do FFDroder (Zscaler)

O FFDroid tem como alvo cookies e credenciais de conta armazenados no Google Chrome (e navegadores baseados no Chrome), Mozilla Firefox, Internet Explorer e Microsoft Edge.

Por exemplo, o malware lê e analisa o cookie Chromium SQLite e o SQLite Credential armazena e descriptografa as entradas abusando da API Windows Crypt, especificamente, a função CryptUnProtectData.

O procedimento é semelhante para os outros navegadores, com funções como InternetGetCookieRxW e IEGet ProtectedMode Cookie abusadas para capturar todos os cookies armazenados no Explorer e Edge.

O malware que executa funções para roubar cookies do Facebook do IE (Zscaler)

O roubo e a descriptografia resultam em nomes de usuário e senhas em texto simples, que são então exfiltrados por meio de uma solicitação HTTP POST para o servidor C2; nesta campanha, http[:]//152[.]32[.]228[.]19/seemorebty.

Exfiltração de dados roubados por meio de uma solicitação POST (Zscaler)

Segmentação de mídias sociais

Ao contrário de muitos outros trojans que roubam senhas, os operadores do FFDroid não estão interessados ??em todas as credenciais de conta armazenadas nos navegadores da web.

Em vez disso, os desenvolvedores de malware estão se concentrando em roubar credenciais para contas de mídia social e sites de comércio eletrônico, incluindo Facebook, Instagram, Amazon, eBay, Etsy, Twitter e o portal para a carteira WAX Cloud.

O objetivo é roubar cookies válidos que podem ser usados ??para autenticação nessas plataformas, e isso é testado em tempo real pelo malware durante o procedimento.

Roubar cookies do Facebook do navegador (Zscaler)

Se a autenticação for bem-sucedida no Facebook, por exemplo, o FFDroder busca todas as páginas e favoritos do Facebook, o número de amigos da vítima e suas informações de cobrança e pagamento da conta do gerenciador de anúncios do Facebook.

Os agentes de ameaças podem usar essas informações para executar campanhas publicitárias fraudulentas na plataforma de mídia social e promover seu malware para um público maior.

Se logado com sucesso no Instagram, o FFDroder abrirá a página da Web de edição da conta para obter o endereço de e-mail da conta, número de telefone celular, nome de usuário, senha e outros detalhes.

Experimentando o cookie roubado do Instagram (Zscaler)

Este é um aspecto interessante da funcionalidade do ladrão de informações, porque ele não está apenas tentando obter credenciais, mas para fazer login na plataforma e roubar ainda mais informações.

Depois de roubar as informações e enviar tudo para o C2, o FFDroid se concentra em baixar módulos adicionais de seus servidores em intervalos de tempo fixos.

Os analistas do Zscaler não forneceram muitos detalhes sobre esses módulos, mas ter uma funcionalidade de download torna a ameaça ainda mais potente.

Para evitar esse tipo de malware, as pessoas devem ficar longe de downloads ilegais e fontes de software desconhecidas. Como precaução extra, os downloads podem ser carregados no VirusTotal para verificar se as soluções antivírus o detectam como malware.

Via BleepingComputer

TAGGED:
Share This Article
Por Claylson Martins
Follow:
Jornalista com pós graduações em Economia, Jornalismo Digital e Radiodifusão. Nas horas não muito vagas, professor, fotógrafo, apaixonado por rádio e natureza.
Previous Article Fedora tem novidades para pacotes Radeon ROCm, mas ainda precisa lançar OpenCL/HIPora
Next Article Metade dos profissionais de segurança cibernética pensa em desistir devido à pressão
Sair da versão mobile