-
18/08/2021
-
45
-
73 bài viết
Mã độc FFDroider mới đánh cắp tài khoản Facebook, Instagram, Twitter
Mã độc đánh cắp thông tin mới có tên FFDroider xuất hiện, đánh cắp thông tin đăng nhập và cookie được lưu trữ trong các trình duyệt nhằm chiếm quyền điều khiển tài khoản mạng xã hội của nạn nhân.
Các tài khoản mạng xã hội, đặc biệt là các tài khoản đã được xác minh, là một mục tiêu hấp dẫn. Tin tặc có thể sử dụng chúng cho các hoạt động độc hại khác nhau, bao gồm lừa đảo tiền điện tử và phân phối phần mềm độc hại.
Các tài khoản này thậm chí còn hấp dẫn hơn khi họ có quyền truy cập vào các nền tảng quảng cáo của trang web mạng xã hội, cho phép tin tặc sử dụng thông tin đăng nhập bị đánh cắp để chạy quảng cáo độc hại.
Giống như nhiều phần mềm độc hại, FFDroider được lan truyền thông qua các phần mềm crack, phần mềm miễn phí, trò chơi và các tệp khác được tải xuống từ các trang web torrent.
Khi cài đặt các bản tải xuống này, FFDroider cũng sẽ được cài đặt nhưng được ngụy trang dưới dạng ứng dụng Telegram Desktop để tránh bị phát hiện.
Sau khi thực thi, phần mềm độc hại sẽ tạo ra một registry key Windows có tên là "FFDroider", chính là tên được đặt cho phần mềm độc hại này.
FFDroider thêm registry key trên hệ thống bị nhiễm (Zscaler)
Nhà nghiên cứu Zscaler đã tổng hợp một biểu đồ luồng tấn công minh họa cách phần mềm độc hại được cài đặt trên thiết bị của nạn nhân.
Lây nhiễm và lưu lượng hoạt động của FFDroider (Zscaler)
Mục tiêu của FFDroid là cookie và thông tin đăng nhập tài khoản được lưu trữ trong Google Chrome hoặc trình duyệt dựa trên Chrome, Mozilla Firefox, Internet Explorer và Microsoft Edge.
Ví dụ: phần mềm độc hại đọc và phân tích cookie Chromium SQLite và SQLite Credential lưu trữ và giải mã các mục bằng cách lạm dụng WINDOWS Crypt API, cụ thể là chức năng CryptUnProtectData.
Quá trình này tương tự đối với các trình duyệt khác, với các chức năng như InternetGetCookieRxW và IEGet ProtectedMode Cookie bị lạm dụng vì tất cả cookie được lưu trữ trong Explorer và Edge.
Tính năng của mã độc ăn cắp Facebook cookies từ IE (Zscaler)
Việc đánh cắp và giải mã có thể lấy được thông tin của người dùng dạng bản rõ, sau đó được gửi thông qua HTTP POST đến máy chủ C2. Cụ thể máy chủ trong chiến dịch này là http[:]//152[.] 32[.] 228[.] 19/seemorebty.
Dữ liệu bị đánh cắp thông qua yêu cầu POST (Zscaler)
Thay vào đó, các nhà phát triển phần mềm độc hại đang tập trung vào việc đánh cắp thông tin đăng nhập cho các tài khoản mạng xã hội và các trang web thương mại điện tử, bao gồm Facebook, Instagram, Amazon, eBay, Etsy, Twitter và thông tin ví WAX Cloud.
Mục đích là để ăn cắp cookie hợp lệ có thể được sử dụng để xác thực trên các nền tảng này, điều này được thử nghiệm với các phần mềm độc hại trong quá trình nghiên cứu này.
Đánh cắp cookie Facebook từ trình duyệt (Zscaler)
Nếu xác thực thành công trên Facebook, FFDroider sẽ lấy tất cả các trang và dấu trang Facebook, số lượng bạn bè, thông tin thanh toán của nạn nhân và thanh toán quảng cáo trong Facebook Ads manager bằng tài khoản của họ.
Các mã độc này có thể sử dụng các thông tin để chạy nhiều chiến dịch quảng cáo độc hại trên nền tảng mạng xã hội và quảng bá phần mềm độc hại hướng đến nhiều đối tượng hơn.
Nếu đăng nhập thành công trên Instagram, FFDroider sẽ mở trang web chỉnh sửa tài khoản để lấy địa chỉ email, số điện thoại di động, tên người dùng, mật khẩu và các thông tin khác của tài khoản.
Cookie Instagram bị đánh cắp (Zscaler)
Đây là một khía cạnh thú vị trong chức năng của mã độc đánh cắp thông tin bởi nó không chỉ cố gắng lấy thông tin đăng nhập mà còn đăng nhập vào nền tảng và đánh cắp nhiều thông tin hơn.
Sau khi đánh cắp thông tin và gửi mọi thứ đến C2 server, FFDroid tập trung vào việc tải xuống các module bổ sung khác từ các máy chủ của mình vào khoảng thời gian cố định.
Các nhà phân tích của Zscaler đã không cung cấp nhiều thông tin chi tiết về các module này, có module downloader khiến mối đe dọa trở nên nguy hiểm hơn.
Để an toàn, mọi người nên tránh sử dụng các bản tải xuống bất hợp pháp và các nguồn phần mềm không xác định. Ngoài ra, các tệp tải xuống có thể được tải lên VirusTotal để kiểm tra xem các phần mềm chống virus có phát hiện ra nó dưới dạng phần mềm độc hại hay không.
Các tài khoản này thậm chí còn hấp dẫn hơn khi họ có quyền truy cập vào các nền tảng quảng cáo của trang web mạng xã hội, cho phép tin tặc sử dụng thông tin đăng nhập bị đánh cắp để chạy quảng cáo độc hại.
Phân phối thông qua các phần mềm crack
Các nhà nghiên cứu tại Zscaler đã theo dõi mã độc đánh cắp thông tin mới cùng sự lây lan của nó và hôm nay họ công bố một phân tích kỹ thuật chi tiết dựa trên các mẫu gần đây.Giống như nhiều phần mềm độc hại, FFDroider được lan truyền thông qua các phần mềm crack, phần mềm miễn phí, trò chơi và các tệp khác được tải xuống từ các trang web torrent.
Khi cài đặt các bản tải xuống này, FFDroider cũng sẽ được cài đặt nhưng được ngụy trang dưới dạng ứng dụng Telegram Desktop để tránh bị phát hiện.
Sau khi thực thi, phần mềm độc hại sẽ tạo ra một registry key Windows có tên là "FFDroider", chính là tên được đặt cho phần mềm độc hại này.
FFDroider thêm registry key trên hệ thống bị nhiễm (Zscaler)
Lây nhiễm và lưu lượng hoạt động của FFDroider (Zscaler)
Ví dụ: phần mềm độc hại đọc và phân tích cookie Chromium SQLite và SQLite Credential lưu trữ và giải mã các mục bằng cách lạm dụng WINDOWS Crypt API, cụ thể là chức năng CryptUnProtectData.
Quá trình này tương tự đối với các trình duyệt khác, với các chức năng như InternetGetCookieRxW và IEGet ProtectedMode Cookie bị lạm dụng vì tất cả cookie được lưu trữ trong Explorer và Edge.
Tính năng của mã độc ăn cắp Facebook cookies từ IE (Zscaler)
Dữ liệu bị đánh cắp thông qua yêu cầu POST (Zscaler)
Nhắm mục tiêu là mạng xã hội
Không giống như nhiều trojan ăn cắp mật khẩu khác, FFDroid không quan tâm đến tất cả các thông tin đăng nhập tài khoản được lưu trữ trong trình duyệt web.Thay vào đó, các nhà phát triển phần mềm độc hại đang tập trung vào việc đánh cắp thông tin đăng nhập cho các tài khoản mạng xã hội và các trang web thương mại điện tử, bao gồm Facebook, Instagram, Amazon, eBay, Etsy, Twitter và thông tin ví WAX Cloud.
Mục đích là để ăn cắp cookie hợp lệ có thể được sử dụng để xác thực trên các nền tảng này, điều này được thử nghiệm với các phần mềm độc hại trong quá trình nghiên cứu này.
Các mã độc này có thể sử dụng các thông tin để chạy nhiều chiến dịch quảng cáo độc hại trên nền tảng mạng xã hội và quảng bá phần mềm độc hại hướng đến nhiều đối tượng hơn.
Nếu đăng nhập thành công trên Instagram, FFDroider sẽ mở trang web chỉnh sửa tài khoản để lấy địa chỉ email, số điện thoại di động, tên người dùng, mật khẩu và các thông tin khác của tài khoản.
Sau khi đánh cắp thông tin và gửi mọi thứ đến C2 server, FFDroid tập trung vào việc tải xuống các module bổ sung khác từ các máy chủ của mình vào khoảng thời gian cố định.
Các nhà phân tích của Zscaler đã không cung cấp nhiều thông tin chi tiết về các module này, có module downloader khiến mối đe dọa trở nên nguy hiểm hơn.
Để an toàn, mọi người nên tránh sử dụng các bản tải xuống bất hợp pháp và các nguồn phần mềm không xác định. Ngoài ra, các tệp tải xuống có thể được tải lên VirusTotal để kiểm tra xem các phần mềm chống virus có phát hiện ra nó dưới dạng phần mềm độc hại hay không.
Theo: Bleepingcomputer
Chỉnh sửa lần cuối bởi người điều hành: