Команда Zscaler ThreatLabz выявила новую вредоносную программу на базе windows, создающую ключ реестра под названием FFDroider (Win32.PWS.FFDroider. FFDroider), предназначенную для отправки украденных учетных данных и cookies на командно-контрольный сервер, маскируется на машинах жертв под приложение для обмена мгновенными сообщениями "Telegram".
Ключевые особенности атаки
- Кража файлов cookie и учетных данных с компьютера жертвы.
- Нацеливается на платформы социальных сетей для кражи учетных данных и файлов cookie.
- Похититель входит в социальные сети жертвы, используя украденные cookies, и извлекает информацию об учетной записи, например, Facebook Ads-manager для запуска вредоносной рекламы с сохраненными методами оплаты и Instagram через API для кражи личной информации.
- Использует правила белых списков входящих сообщений в брандмауэре Windows, позволяя копировать вредоносное ПО в нужное место.
- Злоумышленник использует сайт iplogger.org для отслеживания количества заражений.
Indicators of Compromise
MD5
- beb93a48eefd9be5e5664754e9c6f175
- e8c629383fe4b2c0cbf57b0d335fc53f
- 6a235ccfd5dd5e47d299f664d03652b7
- b11fd571c6cc4b8768f33a2da71fbb6e
URLs
- download.studymathlive.com/normal/vinmall880.exe
- download.studymathlive.com/normal/lilay.exe
- download.studymathlive.com/install/vinmall1.exe?_sm_byp=iVVkm23V4sqBFtNM
- download.studymathlive.com/install/vinmall1.exe?_sm_byp=iVVJWHH51nHRJTzP