بدافزارهای FFDroider و Lightning Stealer؛ سارقین جدید اطلاعات

محققان امنیت سایبری در مورد دو بدافزار سرقت‌کننده اطلاعات به نام‌های FFDroider و Lightning Stealer که قادر به استخراج و سرقت اطلاعات حساس و اجرای حملات بر روی دستگاه قربانیان می‌باشند، هشدار می‌دهند.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده بدافزارهای مذکور مورد بررسی قرار گرفته است.

محققان شرکت Zscaler ThreatLabz در گزارشی اعلام نمودند که بدافزار FFDroider که برای استخراج و ارسال اطلاعات کاربری و کوکی‌ها (cookies) به یک سرور کنترل و فرماندهی (Command & Control – به اختصار C2) طراحی شده، خود را بر روی دستگاه‌ قربانی شبیه برنامه پیام‌رسان “Telegram” نشان می‌دهد.

سارقین اطلاعات، همانطور که از نام آنها پیداست، مجهز به ابزارهایی جهت جمع‌آوری اطلاعات حساس نظیر کلیدهای فشرده شده روی صفحه کلید (Keystroke)، تصاویر گرفته شده از صفحه نمایش (Screenshot)، فایل‌ها، رمزهای عبور ذخیره شده و کوکی‌های مرورگرهای وب، از سیستم‌های آسیب‌پذیر بوده و سپس اطلاعات سرقت شده را به یک دامنه تحت اختیار مهاجمان منتقل می‌کنند.

بدافزار FFDroider از طریق نسخه‌های کرک شده و نرم‌افزارهای رایگان با هدف اصلی سرقت کوکی‌ها و اطلاعات کاربری مرتبط با رسانه‌های اجتماعی محبوب و بسترهای تجارت الکترونیک منتشر می‌شود. این بدافزار با بکارگیری داده‌های سرقت شده و ورود به حساب‌های کاربری قربانیان، به سایر اطلاعات مربوط به حساب شخصی آنها دسترسی پیدا می‌کند.

این بدافزار عموماً مرورگرهایی نظیر Google Chrome ،Mozilla Firefox ،Internet Explorer و Microsoft Edge و سایت‌های Facebook ،Instagram ،Twitter Amazon ،eBay و Etsy را مورد هدف قرار می‌دهد.

به نقل از محققان، مهاجمان با استفاده از کوکی‌های سرقت شده، به حساب‌های کاربری شبکه‌های اجتماعی قربانیان وارد شده و از طریق روش‌های پرداخت ذخیره‌شده، به اطلاعات حساب آنها نظیر Facebook Ads-manager دست می‌یابند تا تبلیغات جعلی و مخرب ایجاد و اجرا نمایند. آنها در Instagram نیز، اطلاعات شخصی را با بکارگیری API استخراج می‌کنند.

همچنین بدافزار FFDroider دارای قابلیت ارتقاء خودکار خود به ماژول‌های جدید از طریق یک سرور بروزرسانی می‌باشد که به آن امکان می‌دهد مجموعه امکانات خود را در طول زمان و به مرور گسترش دهد و مهاجم را قادر می‌سازد از داده‌های سرقت شده برای دسترسی اولیه به اهداف موردنظر بهره‌برداری کند.

مشروح گزارش منتشر شده در خصوص بدافزار FFDroider، جزئیات حمله و نشانه‌های آلودگی آن در این نشانی قابل مطالعه است.

بدافزار Lightning Stealer نیز به روشی مشابه عمل می‌کند و می‌تواند داده‌های مربوط به بستر ارتباطی Discord، کیف‌های پول رمزارز، کوکی‌ها، رمزهای عبور، کارت‌های اعتباری و تاریخچه جستجو را از بیش از 30 مرورگر مبتنی بر Firefox و مبتنی بر Chromium استخراج کرده و اطلاعات سرقت شده را با فرمت JSON به یک سرور ارسال کند.

محققان شرکت سی‌بل (.Cyble Inc) بر این باورند که سارقین اطلاعات، شگردهای جدیدی را به منظور شناسایی نشدن به کار می‌گیرند. گروه‌های باج‌افزاری از بدافزارهای سرقت کننده اطلاعات نظیر Lightening Stealer جهت دسترسی اولیه به شبکه و در نهایت استخراج داده‌های حساس استفاده می‌کنند.

به تازگی بدافزارهای سرقت کننده اطلاعات نظیر FFDroider و Lightning Stealer به طور فزاینده‌ای در کارزارهای مختلف به کار گرفته شده‌اند، به خصوص از اوایل فروردین ماه با توقف فعالیت Raccoon Stealer به دلیل جنگ روسیه و اوکراین.

Raccoon Stealer نیز یک بدافزار سرقت‌کننده اطلاعات است. گردانندگان این بدافزار در توییتی در تاریخ 5 فروردین 1401 پس از ادعای مرگ یکی از مسئولین این بدافزار در حمله به اوکراین، اعلام نمودند که فعالیت خود را به حالت تعلیق درآورده‌اند.

در بهمن 1400 نیز محققان جزئیات بدافزاری جدید به نام Jester Stealer را افشاء نمودند که برای سرقت و انتقال انواع اطلاعات از دستگاه قربانیان طراحی شده است. از آن زمان تاکنون، حداقل سه بدافزار سرقت‌کننده اطلاعات مختلف، از جمله BlackGuard ،Mars Stealer و META شناسایی شده‌اند.

منبع:

https://thehackernews.com/2022/04/researchers-warn-of-ffdroider-and.html