Um novo ladrão de informações chamado FFDroider surgiu, roubando credenciais e cookies armazenados em navegadores para sequestrar as contas de mídia social das vítimas. Portanto, o novo malware FFDroider rouba contas do Facebook, Instagram e Twitter.
As contas de mídia social, especialmente as verificadas, são um alvo atraente para hackers, pois os agentes de ameaças podem usá-las para várias atividades maliciosas, incluindo a realização de golpes de criptomoeda e distribuição de malware.
Essas contas são ainda mais atraentes quando têm acesso às plataformas de anúncios do site social, permitindo que os agentes de ameaças usem as credenciais roubadas para executar anúncios maliciosos.
Novo malware FFDroider rouba contas do Facebook, Instagram e Twitter. A distribuição ocorre por meio de cracks de software
Pesquisadores da Zscaler estão rastreando o novo ladrão de informações e sua disseminação e publicaram uma análise técnica detalhada hoje com base em amostras recentes.
Como muitos malwares, o FFDroider se espalha por meio de cracks de software, software gratuito, jogos e outros arquivos baixados de sites de torrent.
Ao instalar esses downloads, o FFDroder também será instalado, mas disfarçado como o aplicativo de desktop Telegram para evitar a detecção.
Uma vez lançado, o malware criará uma chave de registro do Windows chamada “FFDroider”, que levou à nomeação desse novo malware.
O pesquisador do Zscaler montou um fluxograma de ataque que ilustra como o malware é instalado nos dispositivos das vítimas.
O FFDroid tem como alvo cookies e credenciais de conta armazenados no Google Chrome (e navegadores baseados no Chrome), Mozilla Firefox, Internet Explorer e Microsoft Edge.
Por exemplo, o malware lê e analisa o cookie Chromium SQLite e o SQLite Credential armazena e descriptografa as entradas abusando da API Windows Crypt, especificamente, a função CryptUnProtectData.
O procedimento é semelhante para os outros navegadores, com funções como InternetGetCookieRxW e IEGet ProtectedMode Cookie abusadas para capturar todos os cookies armazenados no Explorer e Edge.
O roubo e a descriptografia resultam em nomes de usuário e senhas em texto simples, que são então exfiltrados por meio de uma solicitação HTTP POST para o servidor C2; nesta campanha, http[:]//152[.]32[.]228[.]19/seemorebty.
Segmentação de mídias sociais
Ao contrário de muitos outros trojans que roubam senhas, os operadores do FFDroid não estão interessados ??em todas as credenciais de conta armazenadas nos navegadores da web.
Em vez disso, os desenvolvedores de malware estão se concentrando em roubar credenciais para contas de mídia social e sites de comércio eletrônico, incluindo Facebook, Instagram, Amazon, eBay, Etsy, Twitter e o portal para a carteira WAX Cloud.
O objetivo é roubar cookies válidos que podem ser usados ??para autenticação nessas plataformas, e isso é testado em tempo real pelo malware durante o procedimento.
Se a autenticação for bem-sucedida no Facebook, por exemplo, o FFDroder busca todas as páginas e favoritos do Facebook, o número de amigos da vítima e suas informações de cobrança e pagamento da conta do gerenciador de anúncios do Facebook.
Os agentes de ameaças podem usar essas informações para executar campanhas publicitárias fraudulentas na plataforma de mídia social e promover seu malware para um público maior.
Se logado com sucesso no Instagram, o FFDroder abrirá a página da Web de edição da conta para obter o endereço de e-mail da conta, número de telefone celular, nome de usuário, senha e outros detalhes.
Este é um aspecto interessante da funcionalidade do ladrão de informações, porque ele não está apenas tentando obter credenciais, mas para fazer login na plataforma e roubar ainda mais informações.
Depois de roubar as informações e enviar tudo para o C2, o FFDroid se concentra em baixar módulos adicionais de seus servidores em intervalos de tempo fixos.
Os analistas do Zscaler não forneceram muitos detalhes sobre esses módulos, mas ter uma funcionalidade de download torna a ameaça ainda mais potente.
Para evitar esse tipo de malware, as pessoas devem ficar longe de downloads ilegais e fontes de software desconhecidas. Como precaução extra, os downloads podem ser carregados no VirusTotal para verificar se as soluções antivírus o detectam como malware.
Via BleepingComputer