據(jù)Bleeping Computer消息，Zscaler 的研究人員正追蹤一款名為FFDroider 的新型信息竊取程序，它正通過竊取存儲在瀏覽器中的憑證和 cookie 以劫持受害者的社交媒體帳戶。

與許多惡意軟件一樣，F(xiàn)FDroider通過利用偽裝成破解軟件、免費(fèi)軟件、游戲和其他從 torrent 站點(diǎn)下載的文件進(jìn)行傳播。在下載安裝時(shí)，會(huì)創(chuàng)建一個(gè)名為“FFDroider”的 Windows 注冊表項(xiàng)，這也是該惡意軟件名稱的由來。

FFDroider 在受感染的系統(tǒng)上添加注冊表項(xiàng) (Zscaler)

FFDroid主要針對存儲在 Google Chrome(和基于 Chrome 的瀏覽器)、Mozilla Firefox、Internet Explorer 和 Microsoft Edge 中的 cookie 和帳戶憑證。例如，該惡意軟件通過濫用Windows Crypt API，特別是CryptUnProtectData函數(shù)，讀取和解析Chromium SQLite cookie和SQLite Credential存儲并解密條目。

其他瀏覽器的程序也類似，像濫用InternetGetCookieRxW 和 IEGet ProtectedMode Cookie 等功能，竊取存儲在 Explorer 和 Edge 中的所有 cookie。竊取和解密會(huì)產(chǎn)生明文用戶名和密碼，然后通過 HTTP POST 請求將其泄露到 C2 服務(wù)器。

FFDroid從 IE竊取 Facebook cookie (Zscaler)

與許多其他竊取密碼的木馬不同，F(xiàn)FDroid 只專注于存儲在網(wǎng)絡(luò)瀏覽器中的社交媒體賬戶和電子商務(wù)網(wǎng)站憑證，竊取可用于在這些平臺上進(jìn)行身份驗(yàn)證的有效 cookie，其目標(biāo)包括 Facebook、Instagram、亞馬遜、eBay、Etsy、Twitter 和 WAX Cloud 錢包。

例如，如果攻擊者在 Facebook 上的身份驗(yàn)證成功，F(xiàn)FDroider 會(huì)從 Facebook 廣告管理器獲取所有 Facebook 頁面和書簽、受害者朋友數(shù)量以及他們的帳戶賬單和付款信息，并使用這些信息在社交媒體平臺上開展欺詐性廣告活動(dòng)，將惡意軟件傳播給更多的受眾;而如果成功登錄 Instagram，F(xiàn)FDroider 將打開賬戶編輯頁面，獲取賬戶的電子郵件地址、手機(jī)號碼、用戶名、密碼等詳細(xì)信息。

FFDroid分別從Facebook和Instagram竊取 cookie(Zscaler)

由此可見，F(xiàn)FDroid的套路不僅在于試圖獲取憑證，還試圖登錄相應(yīng)平臺并竊取更多信息。在將這些信息發(fā)送到C2后，F(xiàn)FDroid還會(huì)以固定的時(shí)間間隔從其服務(wù)器上下載并部署其它模塊。Zscaler 的分析師沒有提供有關(guān)這些模塊的詳細(xì)信息，但這會(huì)使威脅更加強(qiáng)大。

參考來源：https://www.bleepingcomputer.com/news/security/new-ffdroider-malware-steals-facebook-instagram-twitter-accounts/