Theo bleepingcomputer, các tài khoản mạng xã hội đặc biệt là những tài khoản đã được xác thực, là mục tiêu hàng đầu đối với các tin tặc, sở dĩ vì chúng có thể sử dụng những tài khoản này cho những hoạt động độc hại khác nhau, điển hình như các hành vi lừa đảo tiền điện tử và phân phối mã độc hại.
Bên cạnh đó, các tài khoản có quyền truy cập vào các nền tảng quảng cáo của mạng xã hội, từ đó cho phép tin tặc sử dụng thông tin đăng nhập bị đánh cắp để chạy quảng cáo độc hại.
Được phân phối thông qua các phần mềm crack
Các nhà nghiên cứu tại công ty an ninh mạng Zscaler (Hoa Kỳ) đã theo dõi các hành vi đánh cắp thông tin mới đây cũng như sự lây lan của mã độc FFDroider, đồng thời công bố một bản phân tích kỹ thuật chi tiết vào ngày 6/4/2022 dựa trên các dấu vết gần đây của mã độc này.
Giống như nhiều loại hình mã độc khác, FFDroider lây nhiễm thông qua các phần mềm crack, phần mềm miễn phí, trò chơi và các tệp khác được tải xuống từ các trang web torrent.
Khởi tạo registry
Khi thực hiện cài đặt các phần mềm, FFDroider cũng sẽ được cài đặt nhưng được ngụy trang và ẩn giấu thành ứng dụng Telegram trên máy tính để tránh bị phát hiện.
Sau khi khởi chạy, mã độc sẽ tạo một Windows registry có tên là “FFDroider” (cũng là tên của mã độc này).
Hình 1. FFDroider thêm registry trên hệ thống bị nhiễm
Các nhà nghiên cứu tại Zscaler đã xây dựng một lược đồ minh họa luồng tấn công, phương thức mà FFDroider được triển khai trên thiết bị của nạn nhân (Hình 2).
Hình 2. Sự lây nhiễm và quá trình hoạt động của FFDroider
FFDroid nhắm mục tiêu đến cookie và thông tin đăng nhập tài khoản được lưu trữ trong Google Chrome, Mozilla Firefox, Internet Explorer và Microsoft Edge. Ví dụ: mã độc này sẽ đọc và phân tích cú pháp cookie Chromium SQLite và SQLite Credential lưu trữ và giải mã các mục bằng cách lợi dụng Windows Crypt API, cụ thể là CryptUnProtectData function.
Quá trình hoạt động sẽ tương tự đối với các trình duyệt khác, với các chức năng như InternetGetCookieRxW và IEGet ProtectedMode Cookie bị lạm dụng để đánh cắp tất cả cookie được lưu trữ trong trình duyệt Internet Explorer và Edge.
Hình 3. Mã độc thực thi chức năng đánh cắp cookie Facebook từ trình duyệt Internet Explorer
Việc đánh cắp và giải mã dẫn đến tên người dùng và mật khẩu được hiển thị dưới dạng bản rõ, sau đó được gửi thông qua một yêu cầu HTTP POST đến máy chủ C2 (Command and Control). Cụ thế là địa chỉ: http://152.32.228.19/seemorebty.
Hình 4. Lọc dữ liệu bị đánh cắp thông qua POST request
Nhắm mục tiêu vào các trang mạng xã hội
Không giống như nhiều mã độc đánh cắp mật khẩu khác, nhóm tin tặc phát triển của FFDroid không quan tâm đến tất cả thông tin đăng nhập tài khoản được lưu trữ trong trình duyệt web. Thay vào đó, chúng đang tập trung vào việc đánh cắp thông tin đăng nhập cho các tài khoản mạng xã hội và các trang web thương mại điện tử, bao gồm Facebook, Instagram, Amazon, eBay, Etsy, Twitter và thông tin ví WAX Cloud. Mục đích chính là đánh cắp các cookie hợp lệ có thể được sử dụng để xác thực trên các nền tảng này.
HÌnh 5. Đánh cắp cookie Facebook từ trình duyệt
Khi xác thực thành công trên Facebook, FFDroider sẽ lấy tất cả các trang và giấu trang Facebook, số lượng bạn bè của nạn nhân cũng như thông tin thanh toán và phí quảng cáo từ trình quản lý Facebook Ads manager.
Tin tặc có thể sử dụng thông tin này để chạy các chiến dịch quảng cáo lừa đảo trên các nền tảng truyền thông mạng xã hội và phân phối mã độc hại trên nhiều đối tượng khác.
Với Instagram, nếu đăng nhập thành công, FFDroider sẽ mở trang web chỉnh sửa tài khoản để lấy địa chỉ email, số điện thoại di động, tên người dùng, mật khẩu và các thông tin khác của tài khoản.
Hình 6. Cookie Instagram bị đánh cắp
Sau khi có được thông tin và gửi mọi thứ đến máy chủ C2, FFDroid sẽ tập trung vào việc tải xuống các mô-đun bổ sung từ máy chủ của nó vào những khoảng thời gian cố định. Các nhà phân tích của Zscaler chưa cung cấp nhiều thông tin chi tiết về các mô-đun này, nhưng việc có chức năng download khiến mối đe dọa thậm chí còn lớn hơn.
Để phòng tránh loại mã độc này, người dùng không nên cài đặt phần mềm từ các nguồn bất hợp pháp và không xác định. Ngoài ra, có thể thông qua VirusTotal để xác định xem các chương trình chống virus nào có thể phát hiện ra phần mềm tải về là độc hại hay không.
Hình 7. Kiểm tra phần mềm trực tuyến bằng VirusTotal