Siber güvenlik araştırmacıları, kimlik bilgilerini ve çerezleri (cookies) çalmak için tasarlanmış FFDroider adlı yeni bir Windows bilgi çalan kötü amaçlı yazılım keşfetti.
Zscaler ThreatLabz’dan siber güvenlik araştırmacıları, kendisini popüler anlık mesajlaşma uygulaması Telegram olarak gizleyen FFDroider adlı yeni bir bilgi çalan kötü amaçlı yazılım konusunda uyarıyor. Kötü amaçlı yazılım, virüslü makinelerden kimlik bilgilerini ve çerezleri çekmek için türetildi.
Zscaler ThreatLabz tarafından yayınlanan rapora göre; “Son zamanlarda, ThreatLabz, FFDroider olarak bir kayıt defteri anahtarı oluşturan yeni bir Windows tabanlı kötü amaçlı yazılım tespit etti. Bu gözleme dayanarak, ThreatLabz bu yeni kötü amaçlı yazılımı Win32.PWS.FFDroider olarak adlandırdı. Bir Komuta ve Kontrol sunucusuna çalıntı kimlik bilgileri ve çerezleri göndermek için tasarlanan FFDroider, kurbanın makinelerinde kendisini anlık mesajlaşma uygulaması “Telegram” gibi görünecek şekilde gizler.”
Uzmanlar, güvenliği ihlal edilmiş download.studymathlive[.]com/normal/lilay.exe URL’si aracılığıyla gelen birden fazla FFDroider kampanyası tespit etti, tüm saldırılar yükleyicilerin ve ücretsiz yazılımların kusurlu crackli sürümlerinden yararlandı.
FFDroider bilgi hırsızı tarafından uygulanan temel özellikler aşağıdadır:
- Kurbanın makinesinden çerezleri ve kimlik bilgilerini çalar.
- Kimlik bilgilerini ve çerezleri çalmak için sosyal medya platformlarını hedefler.
- Hırsız, çalınan çerezleri kullanarak kurbanların sosyal medya platformlarında oturum açar ve saklanan ödeme yöntemleriyle kötü amaçlı reklamlar yayınlamak için Facebook reklam yöneticisi ve kişisel bilgileri çalmak için API aracılığıyla Instagram gibi hesap bilgilerini çıkarır.
- Kötü amaçlı yazılımın istenen konuma kopyalanmasına olanak tanıyan Windows Güvenlik Duvarı (Firewall)’daki beyaz liste kurallarından yararlanır.
- Saldırgan, bulaşma sayılarını izlemek için iplogger.org’u kullanır.
Kötü amaçlı yazılım, Chrome, Mozilla Firefox, Internet Explorer ve Microsoft Edge dahil olmak üzere birden çok tarayıcıdan veri çalabilir. FFDroider ayrıca Facebook, Instagram, Twitter, Amazon, eBay ve Etsy gibi web sitelerini de hedefler.
FFDroider ayrıca bir güncelleme sunucusundan yeni modüller indirerek kendini yükseltmek için kullanılan bir indirme işlevini de destekler. Modüler yapı, bilgi hırsızının zaman içinde yeni işlevler eklemesine olanak tanır.
Rapor şöyle devam ediyor: “Hedef tarayıcılardan ve web sitelerinden çalınan ayrıntıları Komuta Kontrol’e gönderdikten sonra. FFDroider Stealer ayrıca, bir güncelleme sunucusundan diğer modülleri indirerek, InternetOpenUrlW ve InternetReadFile gibi wininet.dll API’lerini çağırarak belirtilen şekilde aşağıdaki adrese istek göndererek sabit bir zaman aralığında kendini yükseltmeye çalışır – URL:http[:]//186[.]2[.]171 [.]17/seemorebtu/poe.php?e=<filename>. Modül daha önce oluşturulan “VlcpVideov1.01” dizinindeki diske “install.exe” olarak yazılır.”
Kötü amaçlı yazılımın kod analizi, hata ayıklama işlevini ortaya çıkardı: yürütme sırasında dosya adı test.exe ise, kötü amaçlı kod bir hata ayıklama durumunda yürütülür; çalınan çerezleri ve hedef web siteleri için her tarayıcıdan C&C’ye gönderilecek nihai json gövdesini yazdırdığı her döngüde iletileri açar.
Kaynak: https://securityaffairs.co/wordpress/130094/cyber-crime/ffdroider-info-stealer.html