FFDroider Stealer IOC

security IOC

Команда Zscaler ThreatLabz выявила новую вредоносную программу на базе windows, создающую ключ реестра под названием FFDroider (Win32.PWS.FFDroider. FFDroider), предназначенную для отправки украденных учетных данных и cookies на командно-контрольный сервер, маскируется на машинах жертв под приложение для обмена мгновенными сообщениями "Telegram".

Ключевые особенности атаки

  • Кража файлов cookie и учетных данных с компьютера жертвы.
  • Нацеливается на платформы социальных сетей для кражи учетных данных и файлов cookie.
  • Похититель входит в социальные сети жертвы, используя украденные cookies, и извлекает информацию об учетной записи, например, Facebook Ads-manager для запуска вредоносной рекламы с сохраненными методами оплаты и Instagram через API для кражи личной информации.
  • Использует правила белых списков входящих сообщений в брандмауэре Windows, позволяя копировать вредоносное ПО в нужное место.
  • Злоумышленник использует сайт iplogger.org для отслеживания количества заражений.

Indicators of Compromise

MD5

  • beb93a48eefd9be5e5664754e9c6f175
  • e8c629383fe4b2c0cbf57b0d335fc53f
  • 6a235ccfd5dd5e47d299f664d03652b7
  • b11fd571c6cc4b8768f33a2da71fbb6e

URLs

  • download.studymathlive.com/normal/vinmall880.exe
  • download.studymathlive.com/normal/lilay.exe
  • download.studymathlive.com/install/vinmall1.exe?_sm_byp=iVVkm23V4sqBFtNM
  • download.studymathlive.com/install/vinmall1.exe?_sm_byp=iVVJWHH51nHRJTzP
SEC-1275-1
Добавить комментарий