FFDroider Stealer
FFDroider Stealerはinfo stealerです。
さまざまな手法で機密情報を収集するために脅威アクターが使用する悪意のあるプログラムです。
そのままですね。
こんな感じです。
- 新しいWindowsベースのマルウェア
zscalerはWin32.PWS.FFDroiderと命名しました。 - 偽Telegram
盗んだクレデンシャルとCookieをC2に送信します。
インスタントメッセージングアプリケーション「Telegram」を偽装したものとなっています。 - ブラウザから取り出す
Chrome、Firefox、Internet Explorer、Edgeに保存された認証情報とcookieを取得します。 - さらに取り出す
ソーシャルメディアや通信販売サイトがターゲットになります。
現時点ではfacebook、instagram、amazon、CloudflareWax wallet、ebay、etsy、twitterが狙われています。
ブラウザから取り出した認証情報とcookieを使って、これらのサイトにサインインできるようになります。 - アカウントの請求および支払い情報の悪用
盗み出したアカウント情報を使って、マルウェアの感染を広げるための広告を出します。
この経費は盗み出したアカウントで支払います。 - Windowsファイアウォールの設定変更
Windowsファイアウォールのインバウンドホワイトリストルールを勝手に追加します。
これにより、マルウェアを目的の場所にコピーできるようにします。 - ダウンローダー機能
ファイルをダウンロードする機能が搭載されています。
もってくるファイルは自分自身の新しいバージョンです。
定期的に自分自身をアップデートできるようになっていますので、バグも減っていくのでしょうし、ターゲットのサイトも増えていくのでしょう。 - デバッグ機能
持ってこられたファイルはinstall.exeというファイル名です。
これをtest.exeに変更するとデバッグができるようになります。
デバッグ状態で動作させるとダイアログが次々にポップアップされます。
ポップアップには読み出しに成功したcookieとC2に送信するフォーマットのjsonが表示されます。
なんて使いやすいのでしょう。
最近いろいろなジャンルのマルウェアが増えているように思いますが、特にinfo stealer系の新しいものの増える速度が上がっているように思えます。
盗まれた認証情報を使った次の段階の大規模な作戦が計画されているかもしれません。
参考記事(外部リンク):FFDroider Stealer Targeting Social Media Platform Users
www.zscaler.com/blogs/security-research/ffdroider-stealer-targeting-social-media-platform-users
