1. 페이스북, 인스타그램, 트위터 계정 탈취 FFDroider 악성코드
FFDroider 으로 명명된 새로운 정보 탈취형 악성코드가 확인되었다. 브라우저에 저장된 자격증명과 쿠키를 훔쳐 피해자의 SNS 계정을 탈취한다. SNS 계정은 공격자에게 암호화폐 사기 및 악성코드 배포를 비롯한 다양한 활동에 이용될 수 있다.
FFDroider 는 소프트웨어 크랙, 게임 및 토렌트 사이트 등에서 다운로드한 파일들을 통해 확산된다. 다운로드 된 파일을 설치할 때 탐지를 피하기 위해 Telegram 데스크톱 앱으로 위장하며, 실행되면 FFDroider 라는 Windows 레지스트리 키를 생성한다.
FFDroider 는 크롬, 파이어폭스, 인터넷 익스플로러 및 엣지에 저장된 크리덴셜을 대상으로 한다. 한가지 예로 악성코드는 CryptUnProtectData Windows API를 이용해서 크로미움 SQLite 쿠키와 크레덴셜 정보를 훔치고 디코딩한다. 이러한 과정은 다른 브라우저(IE나 엣지 등)에서도 유사하게 InternetGetCookieRxW 나 IEGetProtectedMode 함수를 통해 쿠키 정보를 탈취한다. 훔친 정보는 HTTP Post 요청을 통해 C2 서버로 전송된다.
해당 악성코드를 이용한 공격은 웹브라우저에 저장된 다른 자격증명에는 관심이 없으며 Facebook, Instagram, Amazon, eBay, Etsy, Twitter, WAX Cloud 지갑 포탈을 포함 한 SNS 및 전자 상거래 사이트의 자격증명에만 접근한다. 이렇게 소셜 네트워크 계정을 탈취해서 해당 계정을 통해 더 많은 정보를 가져오며, 이를 통해 추가적인 악성 광고 캠페인등도 수행한다.
Process
- 무료/크랙 소프트웨어 설치
download[.]studymathlive[.]com연결- FFDroider 다운로드
- Pre-defined 브라우저 리스트 확인
- SNS 관련 쿠키와 크리덴셜 탈취
- 인증을 위한 쿠키 relay
- 계정 세부 내용과 access token 가져옴
- 훔친 데이터 C2 서버로 전송
IOC
FFDroider Download URL: download[.]studymathlive[.]com
C2: http[:]//152[.]32[.]228[.]19/seemorebty
'깔짝할짝' 카테고리의 다른 글
| 2022-04-13 Wed (0) | 2022.04.13 |
|---|---|
| 2022-04-11 (0) | 2022.04.11 |
| 2022-04-06 Wed (0) | 2022.04.06 |
| 2022-04-05 Tue (0) | 2022.04.05 |
| 2022-03-23 Wed (0) | 2022.03.23 |