FFDroider Stealer Kötü Amaçlı Yazılım Facebook, Instagram Ve Twitter Hesap Kimlik Bilgilerini Çalıyor
Geçenlerde, FFDroider olarak bilinen bir kimlik hırsızı ortaya çıktı ve bu bilgi hırsızı kötü amaçlı yazılım, kurbanların tarayıcılarından kimlik bilgileri ve çerezler gibi hassas bilgileri çalarak sosyal medya hesaplarını ele geçirebilir.
Bu Windows tabanlı kötü amaçlı yazılım FFDroider, Zscaler ThreatLabz ekibindeki güvenlik analistleri tarafından tespit edildi ve bu kötü amaçlı yazılım tarafından çalınan veriler, tehdit aktörleri tarafından kontrol edilen komuta ve kontrol sunucusuna gönderildi.
Sosyal medya hesaplarının, özellikle doğrulanmış olanların, bilgisayar korsanları için birincil hedef olduğu, aşağıdakiler gibi çeşitli kötü amaçlı faaliyetlerde bulunmalarının bir yolu olduğu için giderek daha açık hale geliyor:
- Kripto para birimiyle ilgili dolandırıcılıklar
- Finansal hırsızlık
- Kötü amaçlı yazılım dağıtımı
Bir dolandırıcı bir sosyal ağın reklam platformuna eriştiğinde, tehdit aktörleri kötü amaçlı reklamlar oluşturmak için güvenliği ihlal edilmiş kimlik bilgilerini kullanabilir ve reklamları cazip hedefler için daha çekici hale getirebilir.
Kurbanın makinesindeyken, FFDroider bilgi hırsızı, kendisini yasal bir uygulama gibi göstermek ve tespit edilmekten kaçınmak için anlık mesajlaşma uygulaması "Telegram" olarak gizlenir.
Sahte Crackler İle Yayılma
Bu kötü amaçlı yazılım, başlatıldığında kendi adı olan "FFDroider" ile bir Windows kayıt defteri girdisi oluşturur ve FFDroider, popüler bir paketleyici olan "ASPack v2.12" ile birlikte gelir.
Bunun dışında, tehdit aktörleri FFDroider hırsızını aşağıdaki ortamlar aracılığıyla yayar:
- Yazılım crackleri
- Ücretsiz yazılımları
- Oyunlar
- Oyun crackleri
- Torrent sitelerinden indirilebilir dosyalar
- Ücretsiz oyunlar
Ancak aşağıdaki akış şemasında FFDroider'ın kurbanların cihazlarına nasıl yüklendiğini görebilirsiniz:
FFDroider'ın Temel Özellikleri
Aşağıda, FFDroider bilgi hırsızının tüm temel özelliklerinden bahsettik:
- Kurbanın makinesinden çerezleri çalar.
- Kurbanın makinesinden kimlik bilgilerini çalar.
- Hassas verileri çalmak için Facebook, Instagram gibi sosyal medya platformlarını hedefler.
- Çalınan çerezleri kullanan hırsız, kurbanların sosyal medya hesaplarına erişir ve kötü niyetli reklamlar yayınlamak için gerekli verileri çalar.
- Windows Güvenlik Duvarı'nda, gelen tüm beyaz listeye alma kurallarını kavrar.
- Bulaşma sayılarını izlemek için tehdit aktörleri iplogger.org'u kullanır.
Hedeflenen Tarayıcılar
FFDroid kötü amaçlı yazılımı, aşağıdakiler gibi tüm büyük web tarayıcılarını hedefler:
- Google Chrome
- Tüm Chrome tabanlı tarayıcılar
- Mozilla Firefox
- Internet Explorer
- Microsoft Edge
Windows Crypt API'sini (CryptUnProtectData işlevi) kötüye kullanarak FFDroid aşağıdakileri okur ve ayrıştırır:
- Chromium SQLite çerezi
- Chromium SQLite Kimlik Bilgileri depoları
- Girişlerin şifresini çözer
Sosyal Medya Ve E-Ticaret – Prime hedefleri
FFDroid'in operatörlerinin, diğer birçok şifre çalan truva atının aksine, bilgisayarlarındaki web tarayıcılarında depolanan tüm kimlik bilgileriyle ilgilenmediklerini belirtmekte fayda var.
Burada bu gizli kötü amaçlı yazılımın operatörleri, şifreleri ve kimlik bilgilerini çalmak söz konusu olduğunda sosyal medya sitelerini ve e-ticaret sitelerini hedef alıyor. Ve işte esas olarak hedefledikleri platformlar:
- Amazon
- eBay
- Etsy
- WAX Bulut cüzdanı
Tehdit aktörleri, kötü amaçlı reklam kampanyaları yayınlayarak ve tanıtarak daha geniş bir kitle tabanına ulaşmak için sosyal medya platformlarını hedefler.
FFDroid, siber savunmasını daha da güçlendirmek için, C2 (Kontrol Merkezi) tarafından çalınan bilgileri yakalamak ve oynamak için sunucularından düzenli aralıklarla ek modüller indirmeye odaklanır.
Bu arada, Zscaler ThreatLabz ekibindeki siber güvenlik uzmanları, kullanıcıların bu tür kötü amaçlı yazılımların kurbanı olmaktan kaçınmak için yasadışı olarak indirilen yazılımlardan ve yabancı yazılım kaynaklarından uzak durmalarını şiddetle tavsiye etti.
Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.
Kaynak: Cyber Security News