由安全專家、研究人員和網絡工程師們組成的 Zscaler ThreatLabz 團隊,剛剛曝光了一款名為 Win32.PWS.FFDroider 的新型惡意軟件。據悉,這款基於 Windows 平台的惡意軟件,能夠創建一個名為 FFDroider 的註冊表項,並將竊取到的憑據和 cookie 發送到被攻擊者把持的命令與控制(C&C)服務器。
(圖自:Zscaler ThreatLabz)
研究團隊發現,FFDroider 惡意軟件會將自己偽裝成熱門消息應用“電報”(Telegram)。
命名與控制服務器記錄(初始請求包括了受感染主機的文件名和 IP 地址)
在受害者訪問設備時,FFDroider 會開始通過各大瀏覽器(包括 Google Chrome、Mozilla Firefox、Internet Explorer 和 Microsoft Edge)竊取 cookie 和憑據。
顯示被盜 Instagram 賬戶信息的加密請求
FFDroider 不僅會利用盜取來的 cookie 登錄受害者使用的社交媒體平台以提取更多個人敏感信息,還會通過展示虛假廣告來誘騙受害者輸入他們的敏感信息,結果導致進一步的攻擊。
包含來自受感染的 Facebook Cookie 的被盜信息的解密請求
深入分析發現,FFDroider 廣泛針對 Facebook / Instagram / Twitter 等社交平台、以及亞馬遜 / eBay / Etsy 等電商網站的用戶發起了攻擊。
從 Instagram 竊取的敏感數據的解密請求
為避免造成更大的損失,Zscaler 團隊呼籲大家不要通過來路不明的渠道下載 Telegram 應用程序、並設置必要的安全防護措施 —— 包括保持計算機軟件更新至最新狀態、以及對社交媒體賬戶設置雙因素身份驗證。