Nuevo malware FFDroider roba cuentas de Facebook, Instagram y Twitter

Ha surgido un nuevo ladrón de información llamado FFDroider, que roba credenciales y cookies almacenadas en los navegadores para secuestrar las cuentas de redes sociales de las víctimas.

Las cuentas de redes sociales, especialmente las verificadas, son un objetivo atractivo para los piratas informáticos, ya que los actores de amenazas pueden usarlas para diversas actividades maliciosas, incluida  la realización de estafas de criptomonedas  y la distribución de malware.

Estas cuentas son aún más atractivas cuando tienen acceso a las plataformas publicitarias del sitio social, lo que permite a los actores de amenazas usar las credenciales robadas para ejecutar anuncios maliciosos.

Distribuido a través de grietas de software

Los investigadores de Zscaler han estado rastreando el nuevo ladrón de información y su propagación y publicaron hoy un análisis técnico detallado basado en muestras recientes.

Como muchos programas maliciosos, FFDroider se propaga a través de grietas de software, software gratuito, juegos y otros archivos descargados de sitios de torrents.

Al instalar estas descargas, también se instalará FFDroider, pero disfrazado como la aplicación de escritorio de Telegram para evadir la detección.

Una vez lanzado, el malware creará una clave de registro de Windows llamada "FFDroider", lo que llevó al nombre de este nuevo malware.


El  investigador de Zscaler ha elaborado  un diagrama de flujo de ataques que ilustra cómo se instala el malware en los dispositivos de las víctimas.


FFDroid apunta a las cookies y las credenciales de cuenta almacenadas en Google Chrome (y navegadores basados ​​en Chrome), Mozilla Firefox, Internet Explorer y Microsoft Edge.

Por ejemplo, el malware lee y analiza la cookie Chromium SQLite y SQLite Credential almacena y descifra las entradas al abusar de la API de Windows Crypt, específicamente, la función CryptUnProtectData .

El procedimiento es similar para los otros navegadores, con funciones como InternetGetCookieRxW e IEGet ProtectedMode Cookie abusadas para arrebatar todas las cookies almacenadas en Explorer y Edge.


El robo y el descifrado dan como resultado nombres de usuario y contraseñas en texto claro, que luego se extraen a través de una solicitud HTTP POST al servidor C2; en esta campaña, http[:]//152[.]32[.]228[.]19/seemorebty.


Dirigirse a las redes sociales

A diferencia de muchos otros troyanos que roban contraseñas, los operadores de FFDroid no están interesados ​​en todas las credenciales de cuenta almacenadas en los navegadores web.

En cambio, los desarrolladores de malware se están enfocando en robar credenciales para cuentas de redes sociales y sitios de comercio electrónico, incluidos Facebook, Instagram, Amazon, eBay, Etsy, Twitter y el portal para la billetera WAX Cloud.

El objetivo es robar cookies válidas que puedan usarse para autenticarse en estas plataformas, y el malware lo prueba sobre la marcha durante el procedimiento.


Si la autenticación es exitosa en Facebook, por ejemplo, FFDroider obtiene todas las páginas y marcadores de Facebook, el número de amigos de la víctima y la información de pago y facturación de su cuenta del administrador de anuncios de Facebook.

Los actores de amenazas pueden usar esta información para ejecutar campañas publicitarias fraudulentas en la plataforma de redes sociales y promocionar su malware a una audiencia más amplia.

Si inició sesión correctamente en Instagram, FFDroider abrirá la página web de edición de la cuenta para obtener la dirección de correo electrónico, el número de teléfono móvil, el nombre de usuario, la contraseña y otros detalles de la cuenta.


Este es un aspecto interesante de la funcionalidad del ladrón de información porque no solo intenta obtener credenciales, sino iniciar sesión en la plataforma y robar aún más información.

Después de robar la información y enviar todo al C2, FFDroid se enfoca en descargar módulos adicionales de sus servidores en intervalos de tiempo fijos.

Los analistas de Zscaler no han proporcionado muchos detalles sobre estos módulos, pero tener una funcionalidad de descarga hace que la amenaza sea aún más potente.

Para evitar este tipo de malware, las personas deben mantenerse alejadas de las descargas ilegales y las fuentes de software desconocidas. Como precaución adicional, las descargas se pueden cargar en VirusTotal para verificar si las soluciones antivirus lo detectan como malware.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta