محققان امنیت سایبری در مورد دو بدافزار سرقتکننده اطلاعات به نامهای FFDroider و Lightning Stealer که قادر به استخراج و سرقت اطلاعات حساس و اجرای حملات بر روی دستگاه قربانیان میباشند، هشدار میدهند.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده بدافزارهای مذکور مورد بررسی قرار گرفته است.
محققان شرکت Zscaler ThreatLabz در گزارشی اعلام نمودند که بدافزار FFDroider که برای استخراج و ارسال اطلاعات کاربری و کوکیها (cookies) به یک سرور کنترل و فرماندهی (Command & Control – به اختصار C2) طراحی شده، خود را بر روی دستگاه قربانی شبیه برنامه پیامرسان “Telegram” نشان میدهد.
سارقین اطلاعات، همانطور که از نام آنها پیداست، مجهز به ابزارهایی جهت جمعآوری اطلاعات حساس نظیر کلیدهای فشرده شده روی صفحه کلید (Keystroke)، تصاویر گرفته شده از صفحه نمایش (Screenshot)، فایلها، رمزهای عبور ذخیره شده و کوکیهای مرورگرهای وب، از سیستمهای آسیبپذیر بوده و سپس اطلاعات سرقت شده را به یک دامنه تحت اختیار مهاجمان منتقل میکنند.
بدافزار FFDroider از طریق نسخههای کرک شده و نرمافزارهای رایگان با هدف اصلی سرقت کوکیها و اطلاعات کاربری مرتبط با رسانههای اجتماعی محبوب و بسترهای تجارت الکترونیک منتشر میشود. این بدافزار با بکارگیری دادههای سرقت شده و ورود به حسابهای کاربری قربانیان، به سایر اطلاعات مربوط به حساب شخصی آنها دسترسی پیدا میکند.
این بدافزار عموماً مرورگرهایی نظیر Google Chrome ،Mozilla Firefox ،Internet Explorer و Microsoft Edge و سایتهای Facebook ،Instagram ،Twitter Amazon ،eBay و Etsy را مورد هدف قرار میدهد.
به نقل از محققان، مهاجمان با استفاده از کوکیهای سرقت شده، به حسابهای کاربری شبکههای اجتماعی قربانیان وارد شده و از طریق روشهای پرداخت ذخیرهشده، به اطلاعات حساب آنها نظیر Facebook Ads-manager دست مییابند تا تبلیغات جعلی و مخرب ایجاد و اجرا نمایند. آنها در Instagram نیز، اطلاعات شخصی را با بکارگیری API استخراج میکنند.
همچنین بدافزار FFDroider دارای قابلیت ارتقاء خودکار خود به ماژولهای جدید از طریق یک سرور بروزرسانی میباشد که به آن امکان میدهد مجموعه امکانات خود را در طول زمان و به مرور گسترش دهد و مهاجم را قادر میسازد از دادههای سرقت شده برای دسترسی اولیه به اهداف موردنظر بهرهبرداری کند.
مشروح گزارش منتشر شده در خصوص بدافزار FFDroider، جزئیات حمله و نشانههای آلودگی آن در این نشانی قابل مطالعه است.
بدافزار Lightning Stealer نیز به روشی مشابه عمل میکند و میتواند دادههای مربوط به بستر ارتباطی Discord، کیفهای پول رمزارز، کوکیها، رمزهای عبور، کارتهای اعتباری و تاریخچه جستجو را از بیش از 30 مرورگر مبتنی بر Firefox و مبتنی بر Chromium استخراج کرده و اطلاعات سرقت شده را با فرمت JSON به یک سرور ارسال کند.
محققان شرکت سیبل (.Cyble Inc) بر این باورند که سارقین اطلاعات، شگردهای جدیدی را به منظور شناسایی نشدن به کار میگیرند. گروههای باجافزاری از بدافزارهای سرقت کننده اطلاعات نظیر Lightening Stealer جهت دسترسی اولیه به شبکه و در نهایت استخراج دادههای حساس استفاده میکنند.
به تازگی بدافزارهای سرقت کننده اطلاعات نظیر FFDroider و Lightning Stealer به طور فزایندهای در کارزارهای مختلف به کار گرفته شدهاند، به خصوص از اوایل فروردین ماه با توقف فعالیت Raccoon Stealer به دلیل جنگ روسیه و اوکراین.
Raccoon Stealer نیز یک بدافزار سرقتکننده اطلاعات است. گردانندگان این بدافزار در توییتی در تاریخ 5 فروردین 1401 پس از ادعای مرگ یکی از مسئولین این بدافزار در حمله به اوکراین، اعلام نمودند که فعالیت خود را به حالت تعلیق درآوردهاند.
در بهمن 1400 نیز محققان جزئیات بدافزاری جدید به نام Jester Stealer را افشاء نمودند که برای سرقت و انتقال انواع اطلاعات از دستگاه قربانیان طراحی شده است. از آن زمان تاکنون، حداقل سه بدافزار سرقتکننده اطلاعات مختلف، از جمله BlackGuard ،Mars Stealer و META شناسایی شدهاند.
منبع:
https://thehackernews.com/2022/04/researchers-warn-of-ffdroider-and.html