I ricercatori di sicurezza informatica di Zscaler ThreatLabz hanno individuato un nuovo malware, chiamato FFDroider, per il furto di informazioni di Windows che si traveste da popolare app di messaggistica istantanea Telegram progettato per sottrarre credenziali e cookie da macchine infette.
“Recentemente, ThreatLabz ha identificato un nuovo malware basato su Windows che crea una chiave di registro come FFDroider. Sulla base di questa osservazione, ThreatLabz ha chiamato questo nuovo malware Win32.PWS.FFDroider”, comunica Zscaler ThreatLabz. “Progettato per inviare credenziali e cookie rubati a un server Command & Control, FFDroider si traveste sui computer delle vittime per assomigliare all’applicazione di messaggistica istantanea Telegram.”
Gli esperti hanno individuato più campagne FFDroider che risultano arrivate tramite l’URL compromesso download.studymathlive[.]com/normal/lilay.exe e tutti gli attacchi hanno sfruttato versioni craccate di programmi di installazione e freeware.
Le funzionalità chiave implementate da FFDroider sono le seguenti:
- Ruba cookie e credenziali dal computer della vittima.
- Targeting delle piattaforme di social media per rubare le credenziali e i cookie.
- Accede alle piattaforme di social media delle vittime utilizzando cookie rubati ed estrae informazioni su account come Facebook Ads-manager per eseguire annunci dannosi con metodi di pagamento memorizzati e Instagram tramite API per rubare informazioni personali.
- Sfrutta le regole di whitelist in entrata in Windows Firewall permettendo la copia del malware nella posizione desiderata.
- L’attaccante utilizza iplogger.org per tenere traccia dei conteggi delle infezioni.
FFDroider è in grado di rubare dati da più browser tra cui Chrome, Mozilla Firefox, Internet Explorer e Microsoft Edge. Il malware si rivolge anche a siti Web come Facebook, Instagram, Twitter, Amazon, eBay ed Etsy e supporta anche una funzionalità di download che utilizza per aggiornarsi scaricando nuovi moduli da un server di aggiornamento. La struttura modulare permette all’info-stealer di aggiungere nuove funzionalità nel tempo.
L’analisi del codice del malware ha rivelato la funzionalità di debug, laddove il nome del file al momento dell’esecuzione è test.exe, il codice dannoso viene eseguito in uno stato di debug e visualizza messaggi su ogni loop in cui si trova, stampa il cookie rubati e il corpo json finale che deve essere inviato al C&C da ogni browser per i siti Web di destinazione.
I ricercatori hanno pubblicato la tabella Mitre e gli indicatori di compromissione per questi attacchi.
https://securityaffairs.co/wordpress/130094/cyber-crime/ffdroider-info-stealer.html
