【目標明確】新型惡意軟件FFDroider 專偷FB、IG、Twitter帳戶憑證
最近出現一種新的身份憑證竊取程式 FFDroider,這個惡意軟件能從受害者的瀏覽器中竊取憑據和 cookie 等敏感信息,繼而劫持其社交媒體帳戶。Zscaler ThreatLabz 團隊的安全分析師已識別出這個針對 Windows 的新型惡意軟件,並發現該惡意軟件竊取的數據,被傳送到幕後操縱者的指令及控制伺服器。
近期不少黑客都針對社交媒體賬戶作攻擊,而經驗證的賬戶更是黑客的主要目標,而較常出意的惡意活動包括:加密貨幣相關的騙局、資產盜竊、惡意軟件轉發等,當攻擊者獲得對社交網絡平台的存取權限時,他們便可利用盜用得來的憑證製作惡意廣告,使之更具吸引力。
在受害者的電腦中,FFDroider 訊息竊取程式偽裝成即時通訊應用程式 Telegram,藉以逃過檢測。這種新型惡意軟件在啟動後,會創建一個「FFDroider」的 Windows 註冊表項,並包含一個程式 ASPack v2.12。除此之外,攻擊者還通過軟件破解、免費軟件、遊戲、遊戲破解、從 torrent 網站下載的文件等散播 FFDroider。
FFDroider 主要會竊取從受害者的電腦上竊取 cookie 及憑證,針對 Facebook、Instagram 等社交媒體平台,竊取敏感數據。他們會使用竊取的 cookie 存取受害者的社交媒體帳戶,並竊取基本數據以運行惡意廣告。FFDroider 掌握了 Windows Firewall 中的白名單規則。而為了跟蹤感染惡意程式的數字,攻擊者使用 iplogger.org。
FFDroid 惡意軟件目前針對所有主要的網絡瀏覽器,包括 Google Chrome、Mozilla Firefox、Internet Explorer 及 Microsoft Edge。
FFDroid 會從 Windows Crypt API(CryptUnProtectData function)讀取並解析 Chromium SQLite cookie、Chromium SQLite Credential stores、Decrypts the entries。
另外,FFDroid 的幕後操縱者,僅針對社交媒體的憑證,對其他憑據並不感興趣,他們主要針對 Facebook、Instagram、Amazon、eBay、Etsy、Twitter 及 WAX Cloud wallet。
Zscaler ThreatLabz 團隊的網絡安全專家強烈建議,用戶應避免非法下載的軟件,以及使用不明來源的軟件,以免成為此類惡意軟件的受害者。
