Amsterdam, 25 april 2022 - Malware voor het stelen van inloggegevens wordt tegenwoordig vaak waargenomen in het landschap van cyberaanvallen. Het
Zscaler ThreatLabz-team heeft al veel nieuwe soorten stealer-malware ontdekt in verschillende aanvalscampagnes. Stealers zijn kwaadaardige programma's die worden gebruikt om gevoelige informatie te verzamelen met behulp van verschillende technieken, waaronder keylogging, het stelen van cookies en het verzenden van gestolen informatie naar de Command and Control Server.
Onlangs identificeerde ThreatLabz een nieuwe op Windows gebaseerde malware die een registersleutel creëerde als FFDroider. Op basis van deze observatie heeft ThreatLabz deze nieuwe malware de Win32.PWS.FFDroider genoemd. FFDroider is ontworpen om gestolen inloggegevens en cookies naar een Command & Control-server te sturen, waarbij het zichzelf vermomt op de machines van het slachtoffer om eruit te zien als de instant messaging-applicatie ‘Telegram’.
ThreatLabz observeerde meerdere campagnes met betrekking tot FFDroider-stealer in de Zscaler-cloud die binnenkwamen via de gecompromitteerde URL download.studymathlive[.]com/normal/lilay.exe en allemaal verbonden waren door een kwaadaardig programma dat embedded was in gekraakte versies van installatieprogramma's en freeware.
De aanvalscyclus
Belangrijkste kenmerken van deze aanval
- Steelt cookies en inloggegevens van de computer van het slachtoffer.
- Targeting op sociale-mediaplatforms om de inloggegevens en cookies te stelen.
- De stealer logt in op de sociale-mediaplatforms van slachtoffers met behulp van gestolen cookies, en extraheert accountinformatie zoals Facebook Ads-manager (om kwaadaardige advertenties weer te geven met opgeslagen betalingsmethoden) en Instagram (via API om persoonlijke informatie te stelen).
- Maakt gebruik van regels voor inkomende whitelisting in Windows Firewall waardoor de malware naar de gewenste locatie kan worden gekopieerd.
- De aanvaller gebruikt iplogger.org om het aantal infecties bij te houden.
In de loop der jaren werd Stealer een van de meest gebruikte malware in elke cyberaanvalcampagne. Het Zscaler ThreatLabz-team zal deze aanval en andere aanvallen blijven volgen. Bezoek de website voor een volledige technische analyse van FFDroider:
https://www.zscaler.com/blogs/security-research/ffdroider-stealer-targeting-social-media-platform-users
Over Zscaler
Zscaler (NASDAQ: ZS) versnelt digitale transformatie en maakt klanten meer agile, efficiënt, veerkrachtig en veilig. De Zscaler Zero Trust Exchange beschermt duizenden klanten van cyberaanvallen en dataverlies door gebruikers, apparaten en applicaties veilig met elkaar te verbinden vanaf elke locatie. Verveeld over meer dan 150 datacenters wereldwijd is de op SSE-gebaseerde Zero Trust Exchange het grootste inline cloud security-platform ter wereld.
Voor meer informatie
Zscaler
Berend Sikkema
E-mail:
bsikkema@zscaler.com
Whizpr
Martine Korthals / Winnie Silvertand
Telefoon: 0317 410 483
E-mail:
zscaler@whizpr.nl