Giải mã FFDroider – Mã độc đánh cắp thông tin mới nhất hiện nay

Các nhà nghiên cứu an ninh mạng từ Zscaler ThreatLabz đã cảnh báo về một phần mềm độc hại đánh cắp thông tin mới có tên là FFDroider. Mã độc FFDroider được ngụy trang thành ứng dụng nhắn tin phổ biến hiện nay - Telegram và có nguồn gốc từ việc lấy thông tin đăng nhập và cookie từ các máy bị nhiễm.

Cùng với đó, Mã độc FFDroider đã được phân loại là một loại mã độc ăn cắp thông tin. FFDroider đặc biệt này được thiết kế để tập trung vào các tài khoản mạng xã hội của nạn nhân và trích xuất càng nhiều thông tin từ chúng càng tốt.

Mã độc FFDroider là gì?

FFDroider là một chương trình độc hại được phân loại là kẻ ăn cắp. Nó được thiết kế để trích xuất và lọc dữ liệu nhạy cảm từ các thiết bị bị nhiễm. FFDroider nhắm mục tiêu đến các phương tiện truyền thông xã hội phổ biến và các nền tảng thương mại điện tử nói riêng.

Phần mềm độc hại này có thể lấy cắp dữ liệu từ nhiều trình duyệt, bao gồm Chrome, Mozilla Firefox, Internet Explorer và Microsoft Edge. FFDroider cũng nhắm mục tiêu đến các trang web như Facebook, Instagram, Twitter, Amazon, eBay và Etsy.

Dưới đây là các đặc trưng chính được thực hiện bởi trình đánh cắp thông tin FFDroider:

  • Đánh cắp cookie và thông tin đăng nhập từ máy của nạn nhân.
  • Nhắm mục tiêu các nền tảng truyền thông xã hội để lấy cắp thông tin xác thực và cookie.
  • Kẻ trộm đăng nhập vào nền tảng truyền thông xã hội của nạn nhân bằng cách sử dụng cookie bị đánh cắp và trích xuất thông tin tài khoản như Facebook Ads-manager để chạy quảng cáo độc hại với các phương thức thanh toán được lưu trữ và Instagram qua API để lấy cắp thông tin cá nhân ..
  • Tận dụng các quy tắc đưa vào danh sách trắng trong Windows Firewall cho phép sao chép phần mềm độc hại ở vị trí mong muốn.
  • Kẻ tấn công sử dụng iplogger.org để theo dõi số lượng lây nhiễm.
Trình đánh cắp thông tin từ FFDroider

2. Chuỗi lây nhiễm

Giống như nhiều mối đe dọa phần mềm độc hại khác, FFDroider cũng đang bị lây lan qua các trò chơi video bị xâm nhập và phần mềm crack, các ứng dụng và trò chơi miễn phí hoặc các tệp phổ biến khác được tải xuống từ các trang web torrent mờ ám. FFDroider sẽ được triển khai trên thiết bị của người dùng cùng với các mục đã tải xuống. Để tránh gây nghi ngờ và bị phát hiện, mối đe dọa sẽ tự ngụy trang thành phiên bản máy tính để bàn của ứng dụng khách Telegram. Một trong những hành động đầu tiên mà phần mềm độc hại thực hiện là tạo một khóa Windows Registry mới có tên là 'FFDroider.'

Sau khi được thiết lập trên hệ thống, phần mềm độc hại sẽ bắt đầu trích xuất dữ liệu được lưu trữ trong các trình duyệt Web đã cài đặt. Google Chrome và các trình duyệt dựa trên Chromium khác, Mozilla Firefox, Microsoft Edge và Internet Explorer đều có thể bị ảnh hưởng bởi mối đe dọa. Để lấy dữ liệu từ cookie Chromium SQLite và thông tin đăng nhập được lưu trữ, FFDroider sử dụng Windows Crypt API và cụ thể hơn là chức năng CryptUnProtectData. Đối với các trình duyệt được nhắm mục tiêu khác, mối đe dọa lạm dụng các chức năng, chẳng hạn như InternetGetCookieRxW và IEGet ProtectedMode Cookie.

Dữ liệu được giải mã dẫn đến thông tin văn bản rõ ràng chứa thông tin đăng nhập tài khoản của nạn nhân, chẳng hạn như tên người dùng và mật khẩu. Sau đó, các chi tiết được trích xuất sẽ được chuyển đến máy chủ CNC (Command-and-Control) của hoạt động thông qua một yêu cầu HTTP POST.

Chuỗi lây nhiễm từ FFDroider

3. Các mục tiêu đe dọa

Các nhà điều hành của FFDroider không hài lòng với việc chỉ đạt được quyền truy cập vào tài khoản của nạn nhân. Không, FFDroider được thiết kế với các khả năng xâm lấn bổ sung. Thật vậy, như một phần của các hành động của mình, mối đe dọa sử dụng tên người dùng và mật khẩu có được để xác thực và truy cập các tài khoản mạng xã hội và thương mại điện tử của người dùng trên Facebook, Amazon, eBay, Instagram, Etsy, Twitter và ví Wax Cloud.

Ví dụ: FFDroider có thể mở Facebook của nạn nhân và tìm nạp tất cả các trang Facebook và dấu trang, số lượng bạn bè cũng như thông tin thanh toán và lập hóa đơn của tài khoản được lấy từ trình quản lý Facebook Ads. Trên Instagram, mối đe dọa sẽ mở trang chỉnh sửa tài khoản để xem địa chỉ email, số điện thoại, tên người dùng, mật khẩu và các chi tiết bí mật khác của người dùng.

Cần lưu ý rằng FFDroid có khả năng tải xuống và triển khai thêm các mô-đun bị hỏng trên hệ thống bị nhiễm. Làm như vậy có thể cho phép những kẻ tấn công thực hiện các hành động xâm lấn khác nhau tùy thuộc vào các mục tiêu cụ thể của chúng.

Mã độc FFDroider và những điều bạn cần lưu ý

CyberKid Vietnam ra đời với sứ mệnh đảm bảo sự an toàn của Trẻ em Việt Nam trước các mối đe dọa an ninh mạng khi tương tác trên Internet. Cùng sự đồng hành chiến lược đến từ các đơn vị: Young IT, Viettel Cyber Security, Palo Alto Networks.
Mọi thông tin chi tiết xin vui lòng liên hệ:
[Fanpage]: CyberKid Vietnam

Phổ biến
Mạng xã hội - Sát thủ vô hình với thói quen ăn uống của giới trẻ

Với giá thành chỉ từ 25.000 - 35.000VNĐ, bạn đã sở hữu được một một cốc kem hoặc trà sữa Mixue thơm ngon. Vì giá cả cạnh tranh nên Mixue dần thu hút được các bạn trẻ. Tuy nhiên, kể từ khi Mixue tung ra món đồ chơi như lật đật, gấu bông, nó đã […]

Đọc thêm
Vì sao nội dung chẩn đoán sức khỏe trên TikTok tai hại?

Rủi ro khi xem nội dung chẩn đoán bệnh tâm lý trên TikTok

Đọc thêm
Chúng ta có thật sự học được điều gì từ #LearnOnTikTok ?

chiến dịch #LearnOnTikTok - khi các nhà sáng tạo nội dung tiếp cận người dùng bằng cách trẻ hoá nội dung giáo dục thành các câu chuyện, thậm chí ảnh memes, khiến những kiến thức này trở nên dễ hiểu, thu hút

Đọc thêm
arrow-up-circle linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram