FFDroider Malware IOC

malware IOC

Компания ThreatLabz выявила новую вредоносную программу на базе windows, создающую ключ реестра под названием FFDroider. Вредоносная программа предназначена для отправки украденных учетных данных и файлов cookie на командно-контрольный сервер. Версия, проанализированная исследователями, была упакована в Aspack. Шпионское ПО предлагается на сайтах загрузки под видом инсталляторов для бесплатного и взломанного платного программного обеспечения. FFDroider маскируется на машинах жертв под приложение для обмена мгновенными сообщениями "Telegram". Было обнаружено несколько кампаний по распространению этого шпионского ПО, но все они были легко связаны между собой вредоносной программой, встроенной во взломанные версии инсталляторов и бесплатного ПО.

Браузеры

После проверки IP-адреса пораженного компьютера с помощью запроса к легитимной службе на сайте iplogger.org, FFDroider начинает процедуру кражи файлов cookie и учетных данных. Он использует специальные методы для каждого браузера, чтобы извлечь данные, хранящиеся в целевых браузерах:

  • Google Chrome
  • Mozilla Firefox
  • Internet Explorer
  • Microsoft Edge

Целевые веб-сайты, которые он ищет, следующие:

www.facebook.com
www.instagram.com
www.amazon.ca/cn/eg/fr/de/in/it/co.jp/nl/pl/sa/sg/es/se/ae/co.uk/com/com.au/com.br/mx/tr
www.all-access.wax.io
www.ebay.com
www.etsy.com
www.twitter.com

Вредоносная программа также планирует украсть сохраненные учетные данные VPN/дозвона из \Appdata\Microsoft\Network\Connections\Pbk\rasphone.pbk и \Pbk\rasphone.pbk телефонных книг, если таковые имеются.

Социальные сети

Если вредоносной программе удается перехватить куки для facebook.com или instagram.com из любого из целевых браузеров, куки воспроизводятся на платформах социальных сетей.

Сначала вредоносная программа проверяет, может ли она аутентифицироваться с помощью украденных файлов cookie. Если куки действительны и обеспечивают надлежащую аутентификацию, он отправляет запрос GET /settings с использованием маркера доступа на facebook.com вместе с аутентифицированными куки, чтобы получить настройки учетной записи пользователя взломанного аккаунта.

Затем проверяется, является ли взломанный аккаунт бизнес-аккаунтом и имеет ли он доступ к Facebook Ads Manager, и, разобрав ответы, извлекает следующие данные, используя украденные файлы cookie:

  • Получение информации о счетах и платежах из Facebook Ads Manager.
  • Получение страниц и закладок пользователей в Facebook.
  • Перечислить количество друзей в Facebook и другую информацию, связанную с пользователем.

Поскольку вся похищенная информация отправляется на командно-контрольный сервер (C&C), вполне вероятно, что эта информация будет использована в дальнейшем для запуска вредоносной рекламы с аккаунта жертвы и использования платежного метода взломанного аккаунта для дальнейшего распространения вредоносного ПО.

Аналогичным образом FFDroider ищет действующие сессионные cookies для Instagram, чтобы извлечь личную информацию, такую как адрес электронной почты, идентификатор пользователя Instagram, сохраненный пароль и номер телефона с веб-страницы редактирования аккаунта Instagram и отправить ее на C&C-сервер.

Другие функциональные возможности

FFDroider создает правило белых списков входящих соединений в брандмауэре Windows, чтобы позволить себе общаться, что требует административных привилегий. Это позволит обычно запрещенные соединения с пораженной системой.

После кражи и отправки украденных данных с целевых браузеров и веб-сайтов на C&C-сервер, FFDroider пытается обновить себя, загружая другие модули с сервера обновлений.

Если во время выполнения имя файла переименовано в test.exe, вредоносная программа переходит в состояние отладки и выдает сообщения на каждом цикле. Затем она распечатывает украденные cookies и результаты, которые создаются для отправки на C&C, содержащий информацию, собранную с каждого целевого браузера для целевых веб-сайтов. Состояние отладки, скорее всего, используется авторами вредоносной программы для проверки ее функциональности во время разработки.

Indicators of Compromise

IPv4

  • 152.32.228.19
  • 186.2.171.17

Dimains

  • download.studymathlive.com

URLs

  • http://152.32.228.19/seemorebty
  • http://186.2.171.17/seemorebtu/poe.php
  • http://download.studymathlive.com/install/vinmall1.exe?_sm_byp=iVVJWHH51nHRJTzP
  • http://download.studymathlive.com/install/vinmall1.exe?_sm_byp=iVVkm23V4sqBFtNM
  • http://download.studymathlive.com/normal/lilay.exe
  • http://download.studymathlive.com/normal/vinmall880.exe

MD5

  • beb93a48eefd9be5e5664754e9c6f175
  • e8c629383fe4b2c0cbf57b0d335fc53f
  • 6a235ccfd5dd5e47d299f664d03652b7
  • b11fd571c6cc4b8768f33a2da71fbb6e

SHA256

  • 3596982adf10806e7128f8f64621ec7546f4c56e445010523a1a5a584254f786
  • 7eb7bd960e43164184e41cdacf847394a5aa8b7bce357d65683bc641eef3381b
  • 94031fe0fbda71abdfa4f51c370d0da17deae7578549a81335dfbb446f75c474
  • d7e81d5c26a9ff81d44ff842694b1a8732211e21ac32a471641c4277c1927ca5
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий