Ha surgido un nuevo malware llamado FFDroider que se especializa en robar las credenciales y las cookies de las victimas con el objetivo de hacerse con sus redes sociales. Para este nuevo malware los objetivos especiales son las cuentas en Facebook, Instagram o Twitter que ya estén verificadas, para luego ser utilizadas para actividades maliciosas entre las que se encuentran la realización de estafas de criptomonedas y distribución de otros malware.
Las cuentas en redes sociales que ya han sido verificadas con anterioridad son el principal objetivo del malware FFDroider, ya que estas cuentas cuentan con acceso a las plataformas publicitarias, esto permite a los atacantes puedan publicar anuncios maliciosos.
El malware FFDroider es distribuido a través de grietas de software
Como era de esperarse, el nuevo malware FFDroider se propaga a través de grietas de software, software gratuito, juegos y otros archivos descargados de sitios de Torrents. Cuando el usuario instala estas descargas, también se instalará el malware, pero disfrazado como la aplicación de escritorio de Telegram para evadir la detección.
Cuando el malware sea ejecutado, creará una clave de registro de Windows llamada FFDroider, lo que llevó a los piratas informáticos ponerle como nombre a este nuevo malware.
Gracias al investigador Zscaler podremos echar un vistazo a un diagrama de flojo de ataques que nos muestran cómo el malware se instala en los dispositivos de las victimas.
FFDroid apunta a las cookies y las credenciales de cuenta almacenadas en Google Chrome, Mozilla Firefox, Internet Explorer y Microsoft Edge. La terea del malware es leer y analizar la cookie de Chromium SQLite y SQLite Credential mediante la API de Windows Crypt.
El robo y el descifrado dan como resultado nombres de usuario y contraseñas en texto claro, que luego se extraen a través de una solicitud HTTP POST al servidor C2.
FFDroider ataca las redes sociales verificadas
A diferencia de muchos otros troyanos que roban contraseñas, los operadores de FFDroid no están interesados en todas las credenciales de cuenta almacenadas en los navegadores web. En cambio, los desarrolladores de malware se están enfocando en robar credenciales para cuentas de redes sociales y sitios de comercio electrónico, incluidos Facebook, Instagram, Amazon, eBay, Etsy, Twitter y el portal para la billetera WAX Cloud.
El objetivo es robar cookies válidas que puedan usarse para autenticarse en estas plataformas, y el malware lo prueba sobre la marcha durante el procedimiento. Si la autenticación es exitosa en Facebook, por ejemplo, FFDroider obtiene todas las páginas y marcadores de Facebook, el número de amigos de la víctima y la información de facturación y pago de su cuenta del administrador de anuncios de Facebook.
Los delincuentes pueden usar esta información para ejecutar campañas publicitarias fraudulentas en la plataforma de redes sociales y promocionar su malware a una audiencia más amplia.
Si inició sesión correctamente en Instagram, FFDroider abrirá la página web de edición de la cuenta para obtener la dirección de correo electrónico, el número de teléfono móvil, el nombre de usuario, la contraseña y otros detalles de la cuenta.
Después de robar la información y enviar todo al C2, FFDroid se enfoca en descargar módulos adicionales de sus servidores en intervalos de tiempo fijos.
Lógicamente, para los usuarios estén lejos de este nuevo malware, deben evitar realizar descargas ilegales y de fuentes de software poco conocidas.
Pero como un protección adicional, puede hacer uso de la herramienta VirusTotal para detectar los malware antes de ejecutarlo.
Comentarios!
Comentarios