近期，一款新型信息竊取程序FFDroider出現(xiàn)，它憑借存儲(chǔ)在瀏覽器中的憑證和cookie來竊取受害者的社交媒體帳戶。

社交媒體賬戶，尤其是經(jīng)過驗(yàn)證的賬戶，對(duì)于黑客來說具有非常大的吸引力，因?yàn)檫@些賬戶可以用于各種惡意活動(dòng)，包括進(jìn)行加密貨幣詐騙和分發(fā)惡意軟件。當(dāng)這些賬戶能夠訪問社交網(wǎng)站的廣告平臺(tái)時(shí)，黑客就可以利用竊取的憑證來運(yùn)行惡意廣告。

通過破解軟件分發(fā)

云計(jì)算安全服務(wù)提供商Zscaler的研究人員一直在追蹤該惡意軟件及其傳播情況，并根據(jù)最近的樣本發(fā)表了一份詳細(xì)的技術(shù)分析。

像許多惡意軟件一樣，F(xiàn)FDroider通過破解軟件、免費(fèi)軟件、游戲和其他從種子網(wǎng)站下載的文件進(jìn)行傳播。

在下載安裝其他軟件或文件時(shí)，F(xiàn)FDroider會(huì)偽裝成Telegram桌面應(yīng)用程序以逃避檢測(cè)，進(jìn)而完成安裝。一旦啟動(dòng)，該惡意軟件將創(chuàng)建一個(gè)名為“FFDroider ”的Windows注冊(cè)表項(xiàng)。

FFDroider在受感染的系統(tǒng)上創(chuàng)建注冊(cè)表項(xiàng) (Zscaler)

下圖為研究人員整理的攻擊流程圖，說明了該惡意軟件是如何安裝在受害者設(shè)備上的。

FFDroider的感染和操作流程(Zscaler)

FFDroider的目標(biāo)是存儲(chǔ)在Google Chrome、Mozilla Firefox、Internet Explorer和Microsoft Edge中的cookie和帳戶憑證。例如，該惡意軟件通過濫用Windows Crypt API，特別是CryptUnProtectData，來讀取和解析Chromium SQLite cookie和SQLite Credential存儲(chǔ)并解密條目。對(duì)其他瀏覽器的竊取過程也類似，即使用InternetGetCookieRxW和IEGet ProtectedMode Cookie等功能來抓取所有存儲(chǔ)在Explorer和Edge中的Cookie。

惡意軟件執(zhí)行功能，從IE中竊取Facebook cookies (Zscaler)

竊取和解密后會(huì)產(chǎn)生明文用戶名和密碼，然后通過HTTP POST請(qǐng)求泄露到C2服務(wù)器。

通過POST請(qǐng)求泄漏被盜數(shù)據(jù)(Zscaler)

針對(duì)社交媒體

與其他木馬不同，F(xiàn)FDroider的運(yùn)營商對(duì)存儲(chǔ)在瀏覽器中的所有賬戶憑證并不感興趣，而是專注于竊取可在Facebook、Instagram、Amazon、eBay、Etsy、Twitter 和WAX云錢包等社交媒體賬戶和電子商務(wù)網(wǎng)站進(jìn)行身份驗(yàn)證的有效cookie，惡意軟件會(huì)在此過程中進(jìn)行動(dòng)態(tài)測(cè)試。

從瀏覽器竊取Facebook的cookies(Zscaler)

以Facebook為例，如果身份驗(yàn)證成功，F(xiàn)FDroider就會(huì)從Facebook廣告管理器中獲取所有頁面和書簽、受害者的好友數(shù)量以及賬單和支付信息。威脅參與者可能會(huì)利用這些信息在社交媒體平臺(tái)上開展欺詐性廣告活動(dòng)，并向更多人推廣他們的惡意軟件。

如果成功登錄Instagram，F(xiàn)FDroider將打開賬戶編輯網(wǎng)頁，獲取電子郵件地址、手機(jī)號(hào)碼、用戶名、密碼等詳細(xì)信息。

試用被盜的 Instagram cookie (Zscaler)

FFDroider不僅可以竊取憑證，而且可以登錄平臺(tái)并獲得更多的信息。在竊取信息并將所有內(nèi)容發(fā)送到C2服務(wù)器之后，該惡意軟件就專注于以固定的時(shí)間間隔從服務(wù)器上下載額外的模塊。Zscaler的分析師沒有提供更多關(guān)于這些模塊的細(xì)節(jié)，但FFDroider具有下載器功能使其威脅變得更大。

為避免安裝惡意軟件，人們應(yīng)遠(yuǎn)離非法下載和未知軟件來源。作為額外的預(yù)防措施，可以將下載內(nèi)容上傳到VirusTotal惡意軟件分析平臺(tái)，以檢測(cè)其是否為惡意軟件。