CyberKid

Giải mã FFDroider – Mã độc đánh cắp thông tin mới nhất hiện nay

|
23/05/22

Các nhà nghiên cứu an ninh mạng từ Zscaler ThreatLabz đã cảnh báo về một phần mềm độc hại đánh cắp thông tin mới có tên là FFDroider. Mã độc FFDroider được ngụy trang thành ứng dụng nhắn tin phổ biến hiện nay - Telegram và có nguồn gốc từ việc lấy thông tin đăng nhập và cookie từ các máy bị nhiễm.

Cùng với đó, Mã độc FFDroider đã được phân loại là một loại mã độc ăn cắp thông tin. FFDroider đặc biệt này được thiết kế để tập trung vào các tài khoản mạng xã hội của nạn nhân và trích xuất càng nhiều thông tin từ chúng càng tốt.

Mã độc FFDroider là gì?

FFDroider là một chương trình độc hại được phân loại là kẻ ăn cắp. Nó được thiết kế để trích xuất và lọc dữ liệu nhạy cảm từ các thiết bị bị nhiễm. FFDroider nhắm mục tiêu đến các phương tiện truyền thông xã hội phổ biến và các nền tảng thương mại điện tử nói riêng.

Phần mềm độc hại này có thể lấy cắp dữ liệu từ nhiều trình duyệt, bao gồm Chrome, Mozilla Firefox, Internet Explorer và Microsoft Edge. FFDroider cũng nhắm mục tiêu đến các trang web như Facebook, Instagram, Twitter, Amazon, eBay và Etsy.

Dưới đây là các đặc trưng chính được thực hiện bởi trình đánh cắp thông tin FFDroider:

  • Đánh cắp cookie và thông tin đăng nhập từ máy của nạn nhân.
  • Nhắm mục tiêu các nền tảng truyền thông xã hội để lấy cắp thông tin xác thực và cookie.
  • Kẻ trộm đăng nhập vào nền tảng truyền thông xã hội của nạn nhân bằng cách sử dụng cookie bị đánh cắp và trích xuất thông tin tài khoản như Facebook Ads-manager để chạy quảng cáo độc hại với các phương thức thanh toán được lưu trữ và Instagram qua API để lấy cắp thông tin cá nhân ..
  • Tận dụng các quy tắc đưa vào danh sách trắng trong Windows Firewall cho phép sao chép phần mềm độc hại ở vị trí mong muốn.
  • Kẻ tấn công sử dụng iplogger.org để theo dõi số lượng lây nhiễm.
Trình đánh cắp thông tin từ FFDroider

2. Chuỗi lây nhiễm

Giống như nhiều mối đe dọa phần mềm độc hại khác, FFDroider cũng đang bị lây lan qua các trò chơi video bị xâm nhập và phần mềm crack, các ứng dụng và trò chơi miễn phí hoặc các tệp phổ biến khác được tải xuống từ các trang web torrent mờ ám. FFDroider sẽ được triển khai trên thiết bị của người dùng cùng với các mục đã tải xuống. Để tránh gây nghi ngờ và bị phát hiện, mối đe dọa sẽ tự ngụy trang thành phiên bản máy tính để bàn của ứng dụng khách Telegram. Một trong những hành động đầu tiên mà phần mềm độc hại thực hiện là tạo một khóa Windows Registry mới có tên là 'FFDroider.'

Sau khi được thiết lập trên hệ thống, phần mềm độc hại sẽ bắt đầu trích xuất dữ liệu được lưu trữ trong các trình duyệt Web đã cài đặt. Google Chrome và các trình duyệt dựa trên Chromium khác, Mozilla Firefox, Microsoft Edge và Internet Explorer đều có thể bị ảnh hưởng bởi mối đe dọa. Để lấy dữ liệu từ cookie Chromium SQLite và thông tin đăng nhập được lưu trữ, FFDroider sử dụng Windows Crypt API và cụ thể hơn là chức năng CryptUnProtectData. Đối với các trình duyệt được nhắm mục tiêu khác, mối đe dọa lạm dụng các chức năng, chẳng hạn như InternetGetCookieRxW và IEGet ProtectedMode Cookie.

Dữ liệu được giải mã dẫn đến thông tin văn bản rõ ràng chứa thông tin đăng nhập tài khoản của nạn nhân, chẳng hạn như tên người dùng và mật khẩu. Sau đó, các chi tiết được trích xuất sẽ được chuyển đến máy chủ CNC (Command-and-Control) của hoạt động thông qua một yêu cầu HTTP POST.

Chuỗi lây nhiễm từ FFDroider

3. Các mục tiêu đe dọa

Các nhà điều hành của FFDroider không hài lòng với việc chỉ đạt được quyền truy cập vào tài khoản của nạn nhân. Không, FFDroider được thiết kế với các khả năng xâm lấn bổ sung. Thật vậy, như một phần của các hành động của mình, mối đe dọa sử dụng tên người dùng và mật khẩu có được để xác thực và truy cập các tài khoản mạng xã hội và thương mại điện tử của người dùng trên Facebook, Amazon, eBay, Instagram, Etsy, Twitter và ví Wax Cloud.

Ví dụ: FFDroider có thể mở Facebook của nạn nhân và tìm nạp tất cả các trang Facebook và dấu trang, số lượng bạn bè cũng như thông tin thanh toán và lập hóa đơn của tài khoản được lấy từ trình quản lý Facebook Ads. Trên Instagram, mối đe dọa sẽ mở trang chỉnh sửa tài khoản để xem địa chỉ email, số điện thoại, tên người dùng, mật khẩu và các chi tiết bí mật khác của người dùng.

Cần lưu ý rằng FFDroid có khả năng tải xuống và triển khai thêm các mô-đun bị hỏng trên hệ thống bị nhiễm. Làm như vậy có thể cho phép những kẻ tấn công thực hiện các hành động xâm lấn khác nhau tùy thuộc vào các mục tiêu cụ thể của chúng.

Mã độc FFDroider và những điều bạn cần lưu ý

CyberKid Vietnam ra đời với sứ mệnh đảm bảo sự an toàn của Trẻ em Việt Nam trước các mối đe dọa an ninh mạng khi tương tác trên Internet. Cùng sự đồng hành chiến lược đến từ các đơn vị: Young IT, Viettel Cyber Security, Palo Alto Networks.
Mọi thông tin chi tiết xin vui lòng liên hệ:
[Fanpage]: CyberKid Vietnam

Phổ biến
7 ứng dụng của công nghệ IoT trong kỷ nguyên mới

Sự lan rộng của ứng dụng công nghệ IoT có tác động mạnh mẽ đến cuộc sống, công việc và xã hội loài người trong tương lai. Contents1 1. IoT là gì?2 2. Ứng dụng công nghệ IoT trong thực tiễn2.1 1.1. Trong cuộc sống:2.1.1 Ô tô thông minh2.1.2 Nhà thông minh2.1.3 Thành phố thông […]

Đọc thêm
Chuyện gì xảy ra khi các gã khổng lồ công nghệ liên tục cắt giảm chi phí?

Theo Hãng tin Bloomberg, hai tuần qua những tên tuổi lớn trong ngành công nghệ đã đưa ra những thông tin đầy "u ám" về triển vọng tăng trưởng của họ, giữa bối cảnh lạm phát, chiến tranh, đại dịch đang đè nặng lên toàn ngành công nghệ.

Đọc thêm
Elon Musk: “Youtube chỉ toàn quảng cáo lừa đảo”

Trong các tweet gần đây của Elon Musk, ông đã đăng một meme chế giễu nền tảng video của Google. Ông cho rằng YouTube đang kiểm duyệt những nội dung như chửi thề, nhưng lại nhắm mắt làm ngơ để quảng cáo lừa đảo xuất hiện. 1. Thực hư câu chuyện: “Youtube chỉ toàn quảng […]

Đọc thêm
arrow-up-circle linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram