FFDroider é um exemplo de malware ladrão moderno que visa dados confidenciais em navegadores da web. A quantidade total de novos ladrões que apareceram no primeiro trimestre de 2022 diz muito sobre as novas tendências de malware.
FFDroider Stealer é o segundo malware desse tipo que surgiu no mês passado. O ladrão BlackGuard, que foi revisado por Zscaler uma semana atrás, é bastante semelhante ao assunto. Portanto, é interessante compará-los. Embora o “rival” mencionado seja supostamente melhor no roubo de criptografia, FFDroider está mais perto de um trojan bancário. Como seus distribuidores na Darknet dizem, pode roubar credenciais de redes sociais, carteiras de criptomoedas, e sites de bancos on-line. Depois, contas de mídia roubadas podem ser usadas para criar um fluxo de spam de alta confiabilidade. Adicionalmente, FFDroider carrega um módulo de download, o que pode torná-lo um malware precursor de um vírus mais sério.
Também é interessante ver o disfarce que este malware usa no sistema que infectou. Para perder entre vários outros processos, leva o nome de Telegram messenger. Supondo que se tornou muito popular nos EUA e na Europa no último semestre, é uma ótima maneira de se esconder.
Distribuição do FFDroider Stealer
Não é muito comum, mas os analistas descobriram quase toda a lista de todas as formas possíveis de propagação do malware FFDroider. Geralmente, esse malware se esconde dentro de aplicativos crackeados, sementes de torrent, hacktools and keygens. Normalmente, a carga útil é iniciada junto com o aplicativo “transportadora”, dando à vítima a falsa impressão de segurança. Uma forma menos popular de distribuição é o freeware. Claro, os desenvolvedores de software livre não têm muitas maneiras de monetizar suas horas de trabalho, mas é uma má ideia incorporar malware.
A parte maliciosa desse pacote contém apenas um script de download. Quando você aciona esse script, ele se conecta ao download[.]estudarmatemáticaao vivo[.]com e baixa o malware FFDroider exato. Este domínio parece legítimo, então algumas das ferramentas de proteção de rede podem ignorá-lo sem verificar. Então o malware é lançado, e a primeira ação é verificar os navegadores instalados. Então, consegue roubar e descriptografar os cookies dos navegadores definidos (veja a lista abaixo) exatamente no computador infectado. Finalmente, após a descriptografia bem-sucedida com o uso de métodos do Windows, ele envia os detalhes de login roubados para o servidor de comando.
Funcionalidade FFDroider
Como foi mencionado, FFDroider pode roubar credenciais, e carteiras criptografadas e atuam como malware para download. No entanto, a forma exata como as contas de redes sociais roubadas são usadas não é a habitual. Em casos usuais de roubo, bandidos usam contas sequestradas para enviar spam para todos os assinantes e amigos. Este ladrão, por outro lado, pega credenciais para roubar as credenciais de login dos módulos de publicidade das redes sociais correspondentes.
A publicidade em redes como Facebook ou Instagram requer os dados do cartão bancário anexados. Código CVV2, número do cartão, e a data de validade estão incluídas. Invadir sua conta para obter informações do seu cartão bancário é um vetor de ataque bastante novo, então a maioria dos conselhos para ficar atento não será eficaz. Você não verá nenhum dos dois account restrictions for spam nem mensagens de seus amigos pedindo para parar de enviar links diferentes. Quando você descobrirá o sintoma principal – mensagens do banco sobre a nova transação – Será muito tarde.
A forma exata como ele obtém acesso às suas contas é mais comum. FFDroider grabs the cookies e os aplica na tentativa de login. Os navegadores geralmente mantêm senhas de preenchimento automático e informações curtas sobre o usuário nesses arquivos. Por isso, obter os cookies de alguém significa obter essas informações. Às vezes você pode encontrar ofertas para vender seus cookies a terceiros por um preço atraente. Isso é exatamente o mesmo – mas com o uso de malware para obter esses cookies.
Navegadores direcionados
Os cookies são valiosos apenas nos navegadores que você usa com frequência. É por isso que os principais alvos do assunto são o Chrome, Raposa de fogo, Internet Explorer e vários Navegadores baseados em Chromium. Entre estes últimos, há borda, variantes tardias do Opera, Vivaldi, Navegador Yandex, e Avast Secure Browser. Como você pode ver, a possível superfície de ataque é muito grande, assim o ataque certamente trará algo valioso.
Abusando da API de criptografia do Windows, ele consegue ler e analisar armazenamentos e cookies de credenciais SQLite do Chromium. Então, ele consegue descriptografar esses arquivos para obter as informações de login e dados pessoais em formato bruto. Depois dessas manipulações, bandidos podem pegar isso e usar como quiserem.
Atacando as contas nas redes sociais
Já que os criminosos que operam o FFDroider têm o roubo de suas informações de pagamento como alvo final, eles visam apenas as redes que têm a capacidade de criar promoções pagas. Outros lugares onde eles podem procurar essas informações com esse ladrão são os mercados online, como eBay ou Etsy. Aqui está a lista completa dos lugares que eles pretendem hackear:
- Amazonas
- Etsy
- eBay
- Carteira na nuvem WAX
Quão perigoso é o FFDroider?
Eu dei várias dicas bem diretas sobre o quão perigosa essa coisa é, mas um bom tom exige fazer um final, conclusão geral. Embora o malware BlackGuard mencionado acima seja muito mais eficaz em ataques a usuários individuais, ou pequenos grupos, FFDroider pode ser usado contra um grande número de usuários. Roubar e descriptografar os arquivos cookie é uma ação multifuncional que possibilita a evolução de vários vetores de ataque simultaneamente. Além das formas de espalhamento utilizadas, que pode fornecer aos criminosos um enorme tráfego de vítimas. Nada os impede de tais ataques.
Felizmente, analistas não relatam nenhum aumento catastrófico na atividade de ladrões1. Assim como qualquer outro evento global, a guerra na Ucrânia tornou-se um pano de fundo para a propagação de malware. Novo cenário normalmente requer novas abordagens, portanto, o aparecimento de duas possíveis variantes de malware não passará despercebido aos cibercriminosos. Você nunca sabe o que esperar no dia seguinte, especialmente quando o ambiente muda tão rápido.
- O relatório completo sobre o malware FFDroider.
