首页 > 安全 > 正文

Ffdroider,一个新的信息窃取恶意软件伪装为电报应用程序

最后更新 :2022.04.12

网络安全研究人员发现了一个新的Windows信息窃取恶意软件,名为Ffdroider,旨在窃取凭证和饼干。

来自Zscaler的网络安全研究人员来自Zscaler博览会的研究人员对新的信息窃取恶意软件,名为NBSP; FFdroider,伪装自己作为流行的即时消息传递应用报刊。 恶意软件是从受感染的机器的虹吸凭证和饼干派生。

最近,威胁扩展了基于Windows的基于Windows的恶意软件,创建了一个注册表项作为ffdroider。基于此观察,威胁扩名为此新恶意软件Win32.pws.ffdroider。通过zscaler威胁扩展读取报告。旨在向命令&amp发送被盗的凭据和cookie;Control Server,FFDroider伪装着受害者的机器,看起来像即时消息应用程序“电报”。

专家发现了通过折衷的多个ffdroider运动员ed url  download.studymathlive [。] com / normal / lilay.exe,所有的攻击都利用了污染的安装人员和 免费软件。

以下是FFDroider信息窃听的关键功能:

抢断 来自受害者的机器的Cookie和凭据。特定的社交媒体平台窃取凭证和  cookie。偷窃师使用被盗cookie签署受害者社交媒体平台,并提取像Facebook ADS-Manager这样的帐户信息,以运行具有存储的支付方法的恶意广告通过API Instagram窃取个人信息.. 利用入站白名单中的入站白名单允许在所需位置复制恶意软件.Attacker使用IPlogger.org来跟踪感染计数。
ffdroider



恶意软件能够从多个浏览器中窃取数据,包括Chrome,Mozilla Firefox,Internet Explorer和Microsoft Edge。ffdroider还针对fa等网站CEBook,Instagram,Twitter,Amazon,Ebay和Etsy。FFdroider还支持使用从更新服务器下载新模块来升级自身的下载功能。模块化结构允许信息窃取器随着时间的推移添加新功能。 在从目标浏览器和网站到命令&amp的网站窃取并发送窃取细节后;控制。FFDroider偷窃师进一步推测通过通过跨越请求从更新服务器下载其他模块来升级自身的时间间隔,以如上所述URL: http [:] // 186 [。] 2 [。] 2 [。] 2 [。] 2 [。] 2 [。] 2 [。] 2 [。] 2 [。] 2 [。] 171 [。] 17 / sevOresbtu / poe.php?e \u003d<<文件名\u003e 通过调用wininet.dll apis,如InternetopenEurlw和InternetReadfile。继续报告。将模块写入以前创建的“vlcpvideov1.01”目录中的磁盘,为“install.exe”。 恶意软件代码的分析显示了菲涅纳的调试功能在执行时,我是  test.exe 那么恶意代码是在调试状态下执行的,并在每个循环上弹出邮件,其中它打印出被盗的cookie和最终的json正文。来自每个浏览器的C& 研究人员公布了这些攻击的裁决表和妥协指标。 请投票作为最好的欧洲网络安全博主奖,2022投票给您的获奖者在弱者最佳个人(非商业)安全博客和Tech Whiz最佳技术博客等方面投票表决。提名,请访问: https://docs.google.com/borms/d/e/1faipqlsfxxriscimz9qm9iipumqic-iom-npqmosfznjxrbqryjgcow/view窗体

- END -

看更多