Recentemente, ThreatLabz ha identificato un nuovo malware basato su Windows che crea una chiave di registro sotto il nome di FFDroider. Sulla base di questa osservazione, ThreatLabz ha chiamato questo nuovo malware Win32.PWS.FFDroider.
Progettato per inviare credenziali e cookie rubati a un server Command & Control, FFDroider si nasconde sui computer delle vittime per assomigliare all’applicazione di messaggistica Telegram.
Gli esperti hanno individuato più campagne che sono arrivate tramite l’URL, e tutti gli attacchi hanno sfruttato versioni corrotte di programmi di installazione e freeware contaminati.
Di seguito sono elencate le funzionalità chiave implementate in FFDroider:
- Ruba cookie e credenziali dal computer della vittima.
- Targeting delle piattaforme di social media per rubare le credenziali e i cookie.
- Il ladro accede alle piattaforme di social media delle vittime utilizzando cookie rubati ed estrae informazioni sull’account per eseguire annunci dannosi e rubare metodi di pagamento memorizzati
- Sfrutta le regole di whitelist in entrata in Windows Firewall consentendo la copia del malware nella posizione desiderata.
- L’attaccante utilizza iplogger.org per tenere traccia dei conteggi delle infezioni.
Come funziona il malware
Il malware è in grado di rubare dati da più browser, inclusi Chrome, Mozilla Firefox, Internet Explorer e Microsoft Edge. FFDroider si rivolge anche a siti Web come Facebook, Instagram, Twitter, Amazon, eBay ed Etsy.
FFDroider supporta anche una funzionalità di download che utilizza per aggiornarsi scaricando nuovi moduli da un server di aggiornamento. La struttura modulare consente di aggiungere nuove funzionalità nel tempo.
“Dopo aver rubato e inviato i dettagli rubati dai browser e dai siti web di destinazione, FFDroider Stealer tenta inoltre di aggiornarsi in un intervallo di tempo fisso scaricando altri moduli da un server e inviando una richiesta ad un link” continua la relazione. “Il modulo viene scritto sul disco nella directory “VlcpVideov1.01” precedentemente creata come “install.exe”.”