Nový malware FFDroider krade účty na Facebooku, Instagramu a Twitteru

Nový malware FFDroider krade účty na Facebooku, Instagramu a Twitteru

Objevil se nový zloděj informací jménem FFDroider, který krade přihlašovací údaje a soubory cookie uložené v prohlížečích, aby mohl unést účty uživatelů na sociálních sítích.

Účty na sociálních sítích, zejména ty ověřené, jsou atraktivním cílem pro hackery, protože aktéři hrozeb je mohou využít k různým škodlivým činnostem, včetně provádění podvodů s kryptoměnami a distribuce malwaru. Tyto účty jsou ještě atraktivnější, když mají přístup k reklamním platformám sociálních sítí, což umožňuje aktérům hrozeb používat ukradené přihlašovací údaje ke spouštění škodlivých reklam.

Výzkumníci ze Zscaler sledovali nového zloděje informací a jeho rozšíření a dnes zveřejnili podrobnou technickou analýzu založenou na nedávných vzorcích. Stejně jako mnoho malwaru se FFDroider šíří prostřednictvím softwarových trhlin, bezplatného softwaru, her a dalších souborů stažených z torrentových stránek. Při instalaci těchto stahování se nainstaluje také FFDroider, ale maskovaný jako desktopová aplikace Telegram, aby se vyhnul detekci. FFDroid cílí na soubory cookie a přihlašovací údaje účtu uložené v Google Chrome (a prohlížečích založených na Chrome), Mozilla Firefox, Internet Explorer a Microsoft Edge.

Malware například čte a analyzuje soubor cookie Chromium SQLite a SQLite Credential ukládá a dešifruje záznamy pomocí Windows Crypt API, konkrétně funkce CryptUnProtectData. Postup je podobný u ostatních prohlížečů, přičemž funkce jako InternetGetCookieRxW a IEGet ProtectedMode Cookie byly zneužity k získání všech cookies uložených v Exploreru a Edge. Výsledkem krádeže a dešifrování jsou uživatelská jména a hesla s čistým textem, která jsou poté exfiltrována prostřednictvím požadavku HTTP POST na server C2.

Na rozdíl od mnoha jiných hackerů, kteří kradou hesla, se operátoři FFDroid nezajímají o všechny přihlašovací údaje k účtu uložené ve webových prohlížečích. Místo toho se vývojáři malwaru zaměřují na krádeže přihlašovacích údajů pro účty sociálních médií a weby elektronického obchodu, včetně Facebooku, Instagramu, Amazonu, eBay, Etsy, Twitteru a portálu pro peněženku WAX Cloud.

Cílem je ukrást platné soubory cookie, které lze použít k ověření na těchto platformách, a to je během postupu testováno malwarem. Pokud je autentizace úspěšná například na Facebooku, FFDroider načte všechny stránky a záložky na Facebooku, počet přátel oběti a fakturační a platební údaje o jejich účtu od správce Facebook Ads. Aktéři hrozeb mohou tyto informace použít k provádění podvodných reklamních kampaní na platformě sociálních médií a k propagaci svého malwaru širšímu publiku.

Aby se lidé tomuto typu malwaru vyhnuli, měli by se vyhýbat nelegálnímu stahování a neznámým zdrojům softwaru. Jako další preventivní opatření lze stažené soubory nahrát do VirusTotal a zkontrolovat, zda je antivirová řešení detekují jako malware.

Zdroj, foto: bleepingcomputer.com

Zajímá se o tvůrčí psaní a online marketing. Studuje marketingovou komunikaci. Ve volném čase (kterého moc není) spravuje svůj blog - bezkiki.cz. Její život by nebyl kompletní bez rodiny, přátel, smíchu, hudby a dobrého jídla.

Komentáře

Nahoru