FFDroider es un ejemplo de malware ladrón moderno que apunta a datos confidenciales en navegadores web.. La cantidad total de nuevos ladrones que aparecieron en el primer trimestre de 2022 dice mucho sobre las nuevas tendencias de malware.
FFDroider Stealer es el segundo malware de este tipo que apareció el mes pasado. El ladrón de la Guardia Negra, que era revisado por Zscaler Hace una semana, es bastante similar al tema. Por lo tanto, es interesante compararlos. Si bien, según se informa, el "rival" mencionado es mejor en el robo de criptomonedas, FFDroider está más cerca de un troyano bancario. Como sus distribuidores en la Darknet dicen, puede robar credenciales de redes sociales, billeteras de criptomonedas, y sitios de banca en línea. Después, Las cuentas de medios robadas pueden usarse para crear un flujo de spam de alta confiabilidad.. Además, FFDroider lleva un módulo de descarga, lo que puede convertirlo en un malware precursor de un virus más grave.
También es interesante ver el disfraz que utiliza este malware en el sistema que ha infectado.. Para perderse entre muchos otros procesos, toma el nombre de Telegram messenger. Suponiendo que se haya vuelto muy popular en EE. UU. y Europa durante el último medio año., es una muy buena manera de esconderse.
Distribución de FFDroider Stealer
No es muy habitual, pero los analistas descubrieron casi la lista completa de todas las posibles formas de propagación del malware FFDroider.. Generalmente, este malware se esconde dentro de aplicaciones crackeadas, siembras de torrentes, hacktools and keygens. Normalmente, la carga útil se inicia junto con la aplicación "portadora"., Dar a la víctima la falsa impresión de seguridad.. Una forma menos popular de propagación es el software gratuito.. Seguro, Los desarrolladores de software libre no tienen muchas formas de monetizar sus horas de trabajo., pero es una mala idea incrustar malware.
La parte maliciosa de dicho paquete contiene sólo un script de descarga.. Cuando activas ese script, se conecta a la descarga[.]estudiarmatemáticasvivir[.]com y descarga exactamente el malware FFDroider. Este dominio parece legítimo, por lo que algunas de las herramientas de protección de red pueden omitirlo sin verificarlo. Luego se lanza el malware., y la primera acción es comprobar los navegadores instalados.. Entonces, logra robar y descifrar las cookies de los navegadores definidos (ver la lista a continuación) exactamente en la computadora infectada. Finalmente, después del descifrado exitoso con el uso de métodos de Windows, envía los datos de inicio de sesión robados al servidor de comando.
Funcionalidad FFDroider
Como se mencionó, FFDroider puede robar credenciales, y billeteras criptográficas y actúan como descargador de malware. Sin embargo, La forma exacta en que se utilizan las cuentas de redes sociales robadas no es la habitual.. En los casos habituales de ladrones, Los delincuentes utilizan cuentas secuestradas para enviar spam a todos los suscriptores y amigos.. este ladrón, por otro lado, toma credenciales para robar las credenciales de inicio de sesión de los módulos publicitarios de las redes sociales correspondientes.
La publicidad en redes como Facebook o Instagram requiere los datos de la tarjeta bancaria adjunta. Código CVV2, número de tarjeta, y fecha de vencimiento están incluidos. Irrumpir en su cuenta para obtener la información de su tarjeta bancaria es un vector de ataque bastante nuevo, por lo que la mayoría de los consejos para mantenerse alerta no serán efectivos. No verás ninguno account restrictions for spam ni mensajes de tus amigos pidiendo que dejen de enviarles enlaces diferentes. Cuando descubrirás el síntoma principal. – mensajes del banco sobre la nueva transacción – Será demasiado tarde.
La forma exacta en que accede a sus cuentas es más habitual.. FFDroider grabs the cookies y los aplica en el intento de inicio de sesión. Los navegadores suelen guardar las contraseñas autocompletas e información breve sobre el usuario en estos archivos.. Por eso, obtener las cookies de alguien significa obtener esta información. En ocasiones puedes encontrarte con ofertas para vender tus cookies a un tercero por un precio atractivo. Eso es exactamente lo mismo – pero con el uso de malware para obtener esas cookies.
Navegadores específicos
Las cookies son valiosas sólo en aquellos navegadores que utiliza con bastante frecuencia.. Por eso el principal objetivo del tema es Chrome., Firefox, Internet Explorer y numerosos Navegadores basados en Chromium. entre estos ultimos, hay borde, variantes tardías de la ópera, vivaldi, Navegador Yandex, y navegador seguro Avast. Como se puede ver, la posible superficie de ataque es bastante grande, así el ataque seguramente traerá algo valioso.
Abusar de la API criptográfica de Windows, logra leer y analizar las cookies y los almacenes de credenciales de Chromium SQLite. Entonces, logra descifrar estos archivos para obtener la información de inicio de sesión y los datos personales en forma cruda. Después de estas manipulaciones, Los delincuentes pueden simplemente tomar eso y usarlo como quieran..
Atacar las cuentas en redes sociales
Dado que los delincuentes que operan FFDroider tienen como objetivo final robar su información de pago., apuntan solo a las redes que tienen la capacidad de configurar promociones pagas. Otros lugares donde pueden buscar dicha información con ese ladrón son los mercados en línea., como eBay o Etsy. Aquí está la lista completa de los lugares que pretenden hackear.:
- Gorjeo
- Amazonas
- Etsy
- eBay
- Cartera en la nube WAX
¿Qué tan peligroso es el FFDroider??
Di varias pistas bastante claras sobre lo peligrosa que es esta cosa., pero un buen tono requiere hacer un final, conclusión general. Mientras que el malware BlackGuard antes mencionado es mucho más eficaz en ataques a usuarios individuales, o grupos pequeños, FFDroider puede usarse contra una gran cantidad de usuarios. Robar y descifrar los archivos cookie es una acción omnipropósito que permite desarrollar varios vectores de ataque simultáneamente.. Además de los medios de difusión utilizados, que puede proporcionar a los delincuentes un enorme tráfico de víctimas. Nada los detiene de tales ataques..
Afortunadamente, Los analistas no informan sobre ningún aumento catastrófico en la actividad de los ladrones.1. Como cualquier otro evento global, La guerra en Ucrania se convirtió en un telón de fondo para la propagación de malware.. Un nuevo escenario normalmente requiere nuevos enfoques, por lo que los ciberdelincuentes no pasarán desapercibidas la aparición de dos posibles variantes de malware. Nunca sabes qué esperar al día siguiente., especialmente cuando el entorno cambia tan rápido.
- El informe completo sobre el malware FFDroider.
