FFDRoider adlı yeni bir Bilgi Stealer, mağdurların sosyal medya hesaplarını kaçırmak için tarayıcılarda saklanan kimlik bilgilerini ve çerezleri çaldı.
Özellikle doğrulanmış olanlar, özellikle doğrulanmış olanlar, tehdit aktörleri, kriptokurrency dolandırıcılığı ve kötü amaçlı yazılımları dağıtmak da dahil olmak üzere çeşitli kötü amaçlı etkinlikler için kullanabileceği gibi bilgisayar korsanlarının çekici bir hedefidir.
Bu hesaplar, sosyal sitenin reklam platformlarına erişildiklerinde, tehdit aktörlerinin kötü niyetli reklamları çalıştırmak için çalınan kimlik bilgilerini kullanmalarını sağladığında daha çekicidir.
ZScaler'daki araştırmacılar yeni bilgi istekli ve yayılmasını takip ediyor ve son örnekleri temel alan ayrıntılı bir teknik analiz yayınladı.
Birçok kötü amaçlı yazılım gibi, FFDroider, yazılım çatlakları, ücretsiz yazılım, oyunlar ve torrent sitelerinden indirilen diğer dosyalar yoluyla yayılır.
Bu indirmeyi yüklerken, FFDRoider ayrıca yüklenecek, ancak tespiti kaçırmak için telgraf masaüstü uygulaması olarak gizlenmiştir.
Bir kez başlatıldığında, kötü amaçlı yazılım, bu yeni kötü amaçlı yazılımın adlandırılmasına yol açan "ffdroider" adlı bir Windows kayıt defteri anahtarı oluşturur.
ZScaler araştırmacısı, kötü amaçlı yazılımların mağdurların cihazlarına nasıl kurulduğunu gösteren bir saldırı akış şemasını bir araya getirdi.
FFDroid, Google Chrome (ve krom tabanlı tarayıcılarda), Mozilla Firefox, Internet Explorer ve Microsoft Edge'de depolanan çerezleri ve hesap bilgilerini hedefler.
Örneğin, kötü amaçlı yazılım, Chromium SQLite Cookie ve SQLite kimlik bilgilerini okur ve ayrıştırır ve CryptunProtectData işlevini özellikle Windows Crypt API'sini kötüye kullanırken girişleri şifresini çözer.
Prosedür, diğer tarayıcılara benzerdir, InternetgetCookierxw ve IEGET korumalıMode çerezi, Explorer ve Edge'de depolanan tüm çerezleri kapmak için kötüye kullanılmıştır.
Çalma ve şifre çözme, CleText Kullanıcı adları ve şifrelerinde, daha sonra C2 sunucusuna bir HTTP sonrası isteği aracılığıyla ekilmiştir; Bu kampanyada, http [:] // 152 [.] 32 [.] 228 [.] 19 / Seemokty.
Diğer birçok şifre çalma trojanının aksine, FFDroid'in operatörleri, Web tarayıcılarında depolanan tüm hesap bilgileriyle ilgilenmiyor.
Bunun yerine, kötü amaçlı yazılım geliştiriciler, Facebook, Instagram, Amazon, Ebay, Etsy, Twitter ve Balmumu Bulut Cüzdanı için Portal dahil sosyal medya hesapları ve e-ticaret siteleri için kimlik bilgilerini çalmaya odaklanıyorlar.
Amaç, bu platformlarda kimlik doğrulaması yapmak için kullanılabilecek geçerli çerezleri çalmaktır ve bu, prosedür sırasında kötü amaçlı yazılımın anında test edilmektedir.
Örneğin, kimlik doğrulama başarılı olursa, örneğin, FFDRoider tüm Facebook sayfalarını ve yer imlerini, kurbanın arkadaşlarının sayısını, Facebook reklam yöneticilerinden hesap faturalandırma ve ödeme bilgilerini alır.
Tehdit aktörleri, bu bilgiyi sosyal medya platformunda sahte reklam kampanyalarını çalıştırmak ve kötü amaçlı yazılımlarını daha büyük bir izleyiciye teşvik etmek için kullanabilirler.
Instagram'da başarıyla oturum açtıysa, FFDRoider, hesabın e-posta adresini, cep telefonu numarasını, kullanıcı adını, şifreyi ve diğer ayrıntıları kapmak için Hesap Düzenle Web sayfasını açacak.
Bu, bilgi istirahatinin işlevselliğinin ilginç bir yönüdür, çünkü sadece kimlik bilgilerini almaya çalışmıyor, platformda oturum açmak ve daha da fazla bilgi çalmak için.
Bilgileri çaldıktan ve C2'ye her şeyi gönderdikten sonra, FFDroid, sunucularından sabit zaman aralıklarında ek modülleri indirmeye odaklanır.
ZScaler'ın analistleri bu modüller hakkında birçok ayrıntı sağlamadı, ancak bir indirmeci işlevselliğine sahip olmak, tehdidi daha da güçlendirir.
Bu tür bir kötü amaçlı yazılımın önlenmesi için insanlar yasadışı indirmelerden ve bilinmeyen yazılım kaynaklarından uzak durmaları gerekir. Ekstra bir önlem olarak, antivirüs çözümlerinin kötü amaçlı yazılım olarak tespit edip etmediğini kontrol etmek için indirmeler virustotal'a yüklenebilir.
Sosyal medya kimlik avı saldırıları her zaman yüksek
WhatsApp Sesli Mesaj Kimlik Avı E-postaları Bilgi Çalma Kötü Amaçlı Yazılım Push
Yeni BlackGuard Password-Hacker Forums'ta Satılan Malware
Raccoon Stealer Kötü Amaçlı Yazılım Ukrayna'daki Savaş nedeniyle Operasyonları Askıya Alın
Android Password-Sporing Malware 100.000 Google Play kullanıcısı bulaşıyor
Kaynak: Bleeping Computer