Ένα νέο info-stealing malware με το όνομα FFDroider κλέβει credentials και cookies που είναι αποθηκευμένα σε browsers για να παραβιάζει social media accounts των θυμάτων.
Τα social media accounts, ειδικά αυτά που είναι verified, αποτελούσαν πάντα ελκυστικό στόχο για τους εγκληματίες του κυβερνοχώρου. Οι κακόβουλοι χρήστες θα μπορούσαν να χρησιμοποιήσουν αυτούς τους λογαριασμούς για διάφορες κακόβουλες δραστηριότητες (crypto scams, διανομή κακόβουλου λογισμικού κλπ).
Δείτε επίσης: Το νέο Denonia malware στοχεύει περιβάλλοντα AWS Lambda
Αυτοί οι λογαριασμοί είναι ακόμη πιο ελκυστικοί όταν έχουν πρόσβαση στις πλατφόρμες διαφημίσεων των social site, επιτρέποντας στους επιτιθέμενους να χρησιμοποιούν τα κλεμμένα credentials για την προβολή κακόβουλων διαφημίσεων.
Το FFDroider malware διανέμεται μέσω software cracks
Το info-stealing malware FFDroider εντοπίστηκε και αναλύθηκε από ερευνητές της Zscaler.
Οι ερευνητές εξέτασαν και τις μεθόδους διανομής του και διαπίστωσαν ότι το FFDroider διανέμεται μέσω software cracks, δωρεάν software, παιχνιδιών και άλλων αρχείων που έχουν ληφθεί από torrent sites.
Κατά τη λήψη και την εγκατάσταση των παραπάνω προγραμμάτων, γίνεται και εγκατάσταση του FFDroider malware, αλλά μεταμφιέζεται ως Telegram desktop app για να αποφύγει τον εντοπισμό.
Κατά την εκκίνηση, το FFDroider malware θα δημιουργήσει ένα Windows registry key με το όνομα “FFDroider”. Αυτό οδήγησε και στην ονομασία του νέου info-stealing malware.
FFDroider malware: Πώς λειτουργεί;
Το FFDroid malware στοχεύει cookies και account credentials που είναι αποθηκευμένα στο Google Chrome (και σε Chrome-based browsers), στο Mozilla Firefox, στον Internet Explorer και στον Microsoft Edge.
Η κλοπή και η αποκρυπτογράφηση καταλήγουν σε cleartext ονόματα χρήστη και κωδικούς πρόσβασης, τα οποία στη συνέχεια μεταφέρονται μέσω HTTP POST request στον C2 server: http[:]//152[.]32[.]228[.]19/seemorebty.
Βασικός στόχος του malware: Απόκτηση πρόσβασης σε social media accounts
Το FFDroider malware δεν ενδιαφέρεται για την κλοπή όλων των credentials που είναι αποθηκευμένα στα προγράμματα περιήγησης. Αντίθετα, οι προγραμματιστές του κακόβουλου λογισμικού εστιάζουν στην κλοπή credentials για social media accounts και eCommerce sites, συμπεριλαμβανομένων των Facebook, Instagram, Twitter, Amazon, eBay, Etsy και του portal για το WAX Cloud wallet.
Ο στόχος είναι να κλέψει έγκυρα cookies που μπορούν να χρησιμοποιηθούν για τον έλεγχο ταυτότητας σε αυτές τις πλατφόρμες.
Δείτε επίσης: Ψεύτικες εφαρμογές αγορών Android κλέβουν account logins τραπεζικών λογαριασμών
Εάν ο έλεγχος ταυτότητας είναι επιτυχής, ας πούμε στο Facebook, το FFDroider malware ανακτά όλα τα Facebook pages και bookmarks, τον αριθμό των φίλων του θύματος και τα στοιχεία χρέωσης και πληρωμής του λογαριασμού τους από το Facebook Ads manager.
Τι μπορούν να κάνουν οι επιτιθέμενοι με αυτά τα στοιχεία; Θα μπορούσαν να εκτελέσουν κακόβουλες διαφημιστικές καμπάνιες στην πλατφόρμα και να προωθήσουν το κακόβουλο λογισμικό τους σε μεγαλύτερο κοινό.
Εάν συνδεθεί με επιτυχία στο Instagram, το FFDroider malware θα ανοίξει την σελίδα επεξεργασίας λογαριασμού για να πάρει τη διεύθυνση email του λογαριασμού, τον αριθμό κινητού τηλεφώνου, το όνομα χρήστη, τον κωδικό πρόσβασης και άλλα στοιχεία.
Οι δυνατότητες του malware το κάνουν αρκετά επικίνδυνο. Το κακόβουλο λογισμικό δεν προσπαθεί απλώς να κλέψει credentials, αλλά προσπαθεί επίσης να συνδεθεί στην πλατφόρμα και να κλέψει ακόμα περισσότερες πληροφορίες.
Δείτε επίσης: Phishing email ενημερώνει για υποτιθέμενα φωνητικά μηνύματα WhatsApp
Μετά την κλοπή των πληροφοριών και την αποστολή τους στο C2 server, το FFDroid malware εστιάζει στη λήψη πρόσθετων modules από τους διακομιστές του σε σταθερά χρονικά διαστήματα.
Οι αναλυτές της Zscaler δεν έχουν δώσει πολλές λεπτομέρειες σχετικά με αυτά τα modules. Ωστόσο, η δυνατότητα λήψης άλλων προγραμμάτων το κάνει ακόμα πιο επικίνδυνο.
Πώς να προστατευτείτε;
Η αλήθεια είναι ότι οι χρήστες μπορούν να αποφύγουν τη μόλυνση από malware, όπως το FFDroider, αν μείνουν μακριά από τη λήψη και την εγκατάσταση software cracks και άλλων παράνομων προγραμμάτων. Ως επιπλέον προφύλαξη, οι λήψεις μπορούν να μεταφορτωθούν στο VirusTotal για να ελεγχθεί εάν οι λύσεις προστασίας από ιούς το εντοπίζουν ως κακόβουλο λογισμικό.
Το τελευταίο διάστημα, τα κακόβουλα λογισμικά κλοπής credentials και πληροφοριών εμφανίζονται όλο και πιο συχνά στο τοπίο απειλών. Αυτά τα malware κλέβουν πληροφορίες με διάφορες τεχνικές.
Περισσότερες λεπτομέρειες μπορείτε να δείτε στην έκθεση της Zscaler.
Πηγή: Bleeping Computer