Kurbanların sosyal medya hesaplarını ele geçirmek için tarayıcılarda saklanan kimlik bilgilerini ve çerezleri çalan FFDroider adlı yeni bir bilgi hırsızı ortaya çıktı.
Sosyal Medya hesapları, özellikle doğrulanmış olanlar, tehdit aktörleri bunları çeşitli kötü niyetli faaliyetler için kullanabileceğinden, bilgisayar korsanları için çekici bir hedeftir. kripto para dolandırıcılığı yapmak ve kötü amaçlı yazılım dağıtmak.
Bu hesaplar, sosyal sitenin reklam platformlarına erişimleri olduğunda daha da çekici hale geliyor ve tehdit aktörlerinin çalınan kimlik bilgilerini kötü niyetli reklamlar yayınlamak için kullanmasına izin veriyor.
Yazılım çatlakları aracılığıyla dağıtılır
Zscaler’deki araştırmacılar, yeni bilgi hırsızını ve yayılmasını izliyorlar ve bugün son örneklere dayanarak ayrıntılı bir teknik analiz yayınladılar.
Birçok kötü amaçlı yazılım gibi, FFDroider da yazılım çatlakları, ücretsiz yazılımlar, oyunlar ve torrent sitelerinden indirilen diğer dosyalar aracılığıyla yayılır.
Bu indirmeleri yüklerken, FFDroider da yüklenecek, ancak algılamadan kaçınmak için Telegram masaüstü uygulaması olarak gizlenecek.
Kötü amaçlı yazılım başlatıldığında, bu yeni kötü amaçlı yazılımın adlandırılmasına yol açan “FFDroider” adlı bir Windows kayıt defteri anahtarı oluşturacaktır.
bu Zscaler araştırmacısı bir araya getirdi kötü amaçlı yazılımın kurbanların cihazlarına nasıl yüklendiğini gösteren bir saldırı akış şeması.
FFDroid, Google Chrome’da (ve Chrome tabanlı tarayıcılarda), Mozilla Firefox’ta, Internet Explorer’da ve Microsoft Edge’de depolanan çerezleri ve hesap kimlik bilgilerini hedefler.
Örneğin, kötü amaçlı yazılım Chromium SQLite tanımlama bilgisini okur ve ayrıştırır ve SQLite Kimlik Bilgileri depolar ve Windows Crypt API’yi kötüye kullanarak girişlerin şifresini çözer; CryptUnProtectData işlevi.
Prosedür, InternetGetCookieRxW ve IEGet ProtectedMode Cookie gibi işlevlerin Explorer ve Edge’de depolanan tüm tanımlama bilgilerini almak için kötüye kullanıldığı diğer tarayıcılar için benzerdir.
Çalma ve şifre çözme, açık metin kullanıcı adları ve parolalarla sonuçlanır ve bunlar daha sonra bir HTTP POST isteği aracılığıyla C2 sunucusuna aktarılır; Bu kampanyada, http[:]//152[.]32[.]228[.]19/görünüşe.
Sosyal medyayı hedefleme
Diğer birçok parola çalan truva atının aksine, FFDroid’in operatörleri web tarayıcılarında saklanan tüm hesap bilgileriyle ilgilenmez.
Bunun yerine, kötü amaçlı yazılım geliştiricileri, Facebook, Instagram, Amazon, eBay, Etsy, Twitter ve WAX Cloud cüzdan portalı dahil olmak üzere sosyal medya hesapları ve e-ticaret siteleri için kimlik bilgilerini çalmaya odaklanıyor.
Amaç, bu platformlarda kimlik doğrulaması yapmak için kullanılabilecek geçerli çerezleri çalmaktır ve bu, prosedür sırasında kötü amaçlı yazılım tarafından anında test edilir.
Örneğin Facebook’ta kimlik doğrulama başarılı olursa, FFDroider tüm Facebook sayfalarını ve yer imlerini, kurbanın arkadaşlarının sayısını ve hesap fatura ve ödeme bilgilerini Facebook Reklamları yöneticisinden alır.
Tehdit aktörleri, bu bilgileri sosyal medya platformunda sahte reklam kampanyaları yürütmek ve kötü amaçlı yazılımlarını daha geniş bir kitleye tanıtmak için kullanabilir.
Instagram’da başarılı bir şekilde oturum açtıysanız, FFDroider hesabın e-posta adresini, cep telefonu numarasını, kullanıcı adını, şifresini ve diğer ayrıntıları almak için hesap düzenleme web sayfasını açar.
Bu, bilgi hırsızının işlevselliğinin ilginç bir yönüdür, çünkü yalnızca kimlik bilgilerini almaya çalışmakla kalmaz, aynı zamanda platformda oturum açıp daha fazla bilgi çalmaya çalışır.
Bilgileri çaldıktan ve her şeyi C2’ye gönderdikten sonra, FFDroid sabit zaman aralıklarında sunucularından ek modüller indirmeye odaklanır.
Zscaler’ın analistleri bu modüller hakkında pek fazla ayrıntı vermedi, ancak bir indirme işlevine sahip olmak tehdidi daha da güçlü hale getiriyor.
Bu tür kötü amaçlı yazılımlardan kaçınmak için kişilerin yasa dışı indirmelerden ve bilinmeyen yazılım kaynaklarından uzak durması gerekir. Ek bir önlem olarak, virüsten koruma çözümlerinin kötü amaçlı yazılım olarak algılayıp algılamadığını kontrol etmek için indirmeler VirusTotal’a yüklenebilir.