FFDroider 악성코드

FFDroider Malware는 인포스틸러로 분류되었습니다. 이 특정 맬웨어는 피해자의 소셜 미디어 계정에 초점을 맞춰 최대한 많은 정보를 추출하도록 설계되었습니다. 위협에 대한 기술적 세부 사항은 위협의 여러 샘플을 분석한 연구원의 보고서에서 발표되었습니다.

감염 사슬

많은 맬웨어 위협과 마찬가지로 FFDroider는 손상된 비디오 게임 및 소프트웨어 크랙, 무료 응용 프로그램 및 게임, 또는 그늘진 토렌트 웹사이트에서 다운로드한 기타 인기 있는 파일을 통해 확산되고 있습니다. FFDroider는 다운로드한 항목과 함께 사용자의 장치에 배포됩니다. 의심을 일으키거나 탐지되지 않도록 위협 요소는 Telegram 클라이언트의 데스크톱 버전으로 위장합니다. 멀웨어가 취하는 첫 번째 작업 중 하나는 'FFDroider'라는 새 Windows 레지스트리 키를 만드는 것입니다.

시스템에 설치되면 맬웨어는 설치된 웹 브라우저에 저장된 데이터를 추출하기 시작합니다. Google Chrome 및 기타 Chromium 기반 브라우저, Mozilla Firefox, Microsoft Edge 및 Internet Explorer는 모두 위협의 영향을 받을 수 있습니다. Chromium SQLite 쿠키와 저장된 자격 증명에서 데이터를 얻기 위해 FFDroider는 Windows Crypt API, 특히 CryptUnProtectData 기능을 활용합니다. 다른 대상 브라우저의 경우 위협은 InternetGetCookieRxW 및 IEGet ProtectedMode 쿠키와 같은 기능을 남용합니다.

해독된 데이터는 사용자 이름 및 암호와 같은 피해자의 계정 자격 증명을 포함하는 일반 텍스트 정보를 생성합니다. 추출된 세부 정보는 HTTP POST 요청을 통해 작업의 Command-and-Control 서버로 유출됩니다.

위협적인 목표

FFDroider의 운영자는 단순히 피해자의 계정에 액세스하는 데 만족하지 않습니다. 아니요, FFDroider는 추가 침입 기능으로 설계되었습니다. 실제로, 위협 행위의 일부로 획득한 사용자 이름과 비밀번호를 사용하여 Facebook, Amazon, eBay, Instagram, Etsy, Twitter 및 Wax Cloud 지갑에서 사용자의 소셜 미디어 및 전자 상거래 계정을 인증하고 액세스합니다.

예를 들어 FFDroider는 피해자의 Facebook을 열고 Facebook 광고 관리자로부터 가져온 모든 Facebook 페이지와 북마크, 친구 수, 계정의 청구 및 지불 정보를 가져올 수 있습니다. Instagram에서 위협 요소는 계정 편집 페이지를 열어 사용자의 이메일 주소, 전화번호, 사용자 이름, 비밀번호 및 기타 기밀 세부 정보를 확인합니다.

FFDroid는 감염된 시스템에 추가로 손상된 모듈을 다운로드하고 배포할 수 있는 기능을 가지고 있다는 점에 유의해야 합니다. 이렇게 하면 공격자가 특정 목표에 따라 다양한 다른 침입 작업을 수행할 수 있습니다.