FFDroider البرامج الضارة

تم تصنيف FFDroider Malware على أنه مخترق للمعلومات. تم تصميم هذا الجزء المعين من البرامج الضارة للتركيز على حسابات وسائل التواصل الاجتماعي الخاصة بالضحية واستخراج أكبر قدر ممكن من المعلومات منها. تم نشر التفاصيل الفنية حول التهديد في تقرير للباحثين الذين حللوا عدة عينات من التهديد.

سلسلة العدوى

مثل العديد من تهديدات البرامج الضارة ، ينتشر FFDroider أيضًا عبر ألعاب الفيديو المخترقة وشقوق البرامج والتطبيقات والألعاب المجانية أو الملفات الشائعة الأخرى التي يتم تنزيلها من مواقع التورنت المشبوهة. سيتم نشر FFDroider على أجهزة المستخدم بجانب العناصر التي تم تنزيلها. لتجنب إثارة الشكوك والاكتشاف ، سيتنكر التهديد على أنه إصدار سطح المكتب من عميل Telegram. سيكون أحد الإجراءات الأولى التي تتخذها البرامج الضارة هو إنشاء مفتاح تسجيل Windows جديد باسم "FFDroider".

بمجرد إنشائه على النظام ، سيبدأ البرنامج الضار في استخراج البيانات المخزنة في متصفحات الويب المثبتة. يمكن أن يتأثر كل من Google Chrome والمتصفحات الأخرى المستندة إلى Chromium و Mozilla Firefox و Microsoft Edge و Internet Explorer بالتهديد. للحصول على البيانات من ملف تعريف الارتباط Chromium SQLite وبيانات الاعتماد المخزنة ، يستخدم FFDroider واجهة برمجة تطبيقات Windows Crypt وبشكل أكثر تحديدًا ، وظيفة CryptUnProtectData. بالنسبة للمتصفحات المستهدفة الأخرى ، تعمل إساءة استخدام التهديدات ، مثل InternetGetCookieRxW و IEGet ProtectedMode Cookie.

ينتج عن البيانات التي تم فك تشفيرها معلومات نصية واضحة تحتوي على بيانات اعتماد حساب الضحية ، مثل أسماء المستخدمين وكلمات المرور. ثم يتم إخراج التفاصيل المستخرجة إلى خادم الأوامر والتحكم للعملية عبر طلب HTTP POST.

أهداف مهددة

مشغلي FFDroider غير راضين عن مجرد الوصول إلى حسابات الضحية. لا ، تم تصميم FFDroider بقدرات غازية إضافية. في الواقع ، كجزء من أفعاله ، يستخدم التهديد أسماء المستخدمين وكلمات المرور التي تم الحصول عليها لمصادقة حسابات المستخدم على وسائل التواصل الاجتماعي والتجارة الإلكترونية على Facebook و Amazon و eBay و Instagram و Etsy و Twitter و Wax Cloud Wallet.

على سبيل المثال ، يمكن لـ FFDroider فتح حساب Facebook الخاص بالضحية وجلب جميع صفحات Facebook والإشارات المرجعية وعدد الأصدقاء ومعلومات الفوترة والدفع الخاصة بالحساب المأخوذة من مدير إعلانات Facebook. على Instagram ، سيفتح التهديد صفحة تحرير الحساب لرؤية عنوان البريد الإلكتروني للمستخدم ورقم الهاتف واسم المستخدم وكلمة المرور والتفاصيل السرية الأخرى.

وتجدر الإشارة إلى أن FFDroid يمتلك القدرة على تنزيل ونشر وحدات تالفة إضافية على الأنظمة المصابة. يمكن أن يؤدي القيام بذلك إلى السماح للمهاجمين بأداء العديد من الإجراءات الغازية الأخرى اعتمادًا على أهدافهم المحددة.