社交软件巨头全部中招,木马FFdroider正在窃取你的账户信息
source link: https://netsecurity.51cto.com/article/706005.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
近期,一款新型信息窃取程序FFDroider出现,它凭借存储在浏览器中的凭证和cookie来窃取受害者的社交媒体帐户。
社交媒体账户,尤其是经过验证的账户,对于黑客来说具有非常大的吸引力,因为这些账户可以用于各种恶意活动,包括进行加密货币诈骗和分发恶意软件。当这些账户能够访问社交网站的广告平台时,黑客就可以利用窃取的凭证来运行恶意广告。
通过破解软件分发
云计算安全服务提供商Zscaler的研究人员一直在追踪该恶意软件及其传播情况,并根据最近的样本发表了一份详细的技术分析。
像许多恶意软件一样,FFDroider通过破解软件、免费软件、游戏和其他从种子网站下载的文件进行传播。
在下载安装其他软件或文件时,FFDroider会伪装成Telegram桌面应用程序以逃避检测,进而完成安装。一旦启动,该恶意软件将创建一个名为“FFDroider ”的Windows注册表项。
FFDroider在受感染的系统上创建注册表项 (Zscaler)
下图为研究人员整理的攻击流程图,说明了该恶意软件是如何安装在受害者设备上的。
FFDroider的感染和操作流程(Zscaler)
FFDroider的目标是存储在Google Chrome、Mozilla Firefox、Internet Explorer和Microsoft Edge中的cookie和帐户凭证。例如,该恶意软件通过滥用Windows Crypt API,特别是CryptUnProtectData,来读取和解析Chromium SQLite cookie和SQLite Credential存储并解密条目。对其他浏览器的窃取过程也类似,即使用InternetGetCookieRxW和IEGet ProtectedMode Cookie等功能来抓取所有存储在Explorer和Edge中的Cookie。
恶意软件执行功能,从IE中窃取Facebook cookies (Zscaler)
窃取和解密后会产生明文用户名和密码,然后通过HTTP POST请求泄露到C2服务器。
通过POST请求泄漏被盗数据(Zscaler)
针对社交媒体
与其他木马不同,FFDroider的运营商对存储在浏览器中的所有账户凭证并不感兴趣,而是专注于窃取可在Facebook、Instagram、Amazon、eBay、Etsy、Twitter 和WAX云钱包等社交媒体账户和电子商务网站进行身份验证的有效cookie,恶意软件会在此过程中进行动态测试。
从浏览器窃取Facebook的cookies(Zscaler)
以Facebook为例,如果身份验证成功,FFDroider就会从Facebook广告管理器中获取所有页面和书签、受害者的好友数量以及账单和支付信息。威胁参与者可能会利用这些信息在社交媒体平台上开展欺诈性广告活动,并向更多人推广他们的恶意软件。
如果成功登录Instagram,FFDroider将打开账户编辑网页,获取电子邮件地址、手机号码、用户名、密码等详细信息。
试用被盗的 Instagram cookie (Zscaler)
FFDroider不仅可以窃取凭证,而且可以登录平台并获得更多的信息。在窃取信息并将所有内容发送到C2服务器之后,该恶意软件就专注于以固定的时间间隔从服务器上下载额外的模块。Zscaler的分析师没有提供更多关于这些模块的细节,但FFDroider具有下载器功能使其威胁变得更大。
为避免安装恶意软件,人们应远离非法下载和未知软件来源。作为额外的预防措施,可以将下载内容上传到VirusTotal恶意软件分析平台,以检测其是否为恶意软件。
Recommend
-
90
漏洞提要 一句话解释:不修复该漏洞会导致低权限应用访问你的密码等私密数据,修补这个漏洞会导致设备性能 5% - 30% 的下降,IO 性能下降50%,编译性能下降30%。 据 TheReg 报道,Intel 处理器的一项设计 BUG 近日披露,涉及从数据中
-
59
这个漏洞会让27款安卓App“裸奔”2018年1月9日下午,腾讯七大实验室之一的玄武实验室宣布发现了攻击威胁模型“应用克隆”,该漏洞让支付宝、京东到家、饿了么、携程等27款App的安卓版纷纷中招。黑客可以利用该漏洞远程“克隆”一个跟你账户一模一...
-
12
远程访问型木马——灰鸽子软件的使用(含免杀) Johnson666 2021-05-17 17:55:14 165371 10
-
2
Meta 向美国及加拿大全部成人开放其 VR 社交平台 Horizon Worlds 大章鱼哥 原创 2021-12-10 08:54 热度 258153 分享 微信扫一扫:分享
-
16
借壳防病毒软件,SharkBot银行木马在Google Play传播-51CTO.COM 借壳防病毒软件,SharkBot银行木马在Google Play传播 作者:Zicheng 2022-04-11 12:45:31
-
7
无一例外,全部失败 手机厂商做社交App都不行? ...
-
8
新勒索软件Lilith出现,已有企业中招-51CTO.COM 新勒索软件Lilith出现,已有企业中招 作者:Euclid 2022-07-14 10:54:35 ...
-
8
首页世界网站工具VirusTotal 在线病毒检测 恶意软件木马分析VirusTot...
-
4
5大版本全部中招 微软Win11 22H2又出bug了:Office、记事本等无法打开 2023-01-20 09:02 出处/作者:快科技 整合编辑:佚名 0
-
4
100%中国自主!开源软件五巨头全部支持龙芯CPU龙架构 2023-03-19 20:16 出处/作者:快科技 整合编辑:佚名 0 据龙芯...
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK