Исследователи в области кибербезопасности предупреждают о двух различных вредоносных программах для кражи информации, названных «FFDroider» и «Lightning», которые способны перехватывать данные и запускать дальнейшие этапы кибератак.
«Разработанный для отправки украденных учетных данных и файлов cookie на командно-контрольный сервер, FFDroider маскируется на машинах жертв под приложение для обмена мгновенными сообщениями Telegram» - сообщили исследователи Zscaler ThreatLabz Авинаш Кумар и Нирадж Шивтаркар в отчете, опубликованном на прошлой неделе.
Инфостилеры, как следует из названия, предназначены для сбора конфиденциальной информации со взломанных машин - такой как нажатия клавиш, скриншоты, файлы, сохраненные пароли и cookies из веб-браузеров - которые затем передаются на удаленный домен, контролируемый злоумышленником.
FFDroider распространяется через взломанные версии установщиков распространенного софта и бесплатного программного обеспечения с основной целью кражи файлов cookie и учетных данных, связанных с популярными социальными сетями и платформами электронной коммерции, и использования похищенных данных для входа в учетные записи и получения другой информации, связанной с личными аккаунтами.
Среди веб-браузеров, на которые нацелена вредоносная программа, - Google Chrome, Mozilla Firefox, Internet Explorer и Microsoft Edge. Среди веб-сайтов, которые подвергались атакам - Facebook, Instagram, Twitter, Amazon, eBay и Etsy.
«Вредонос входит в социальные сети жертв, используя краденные cookies, и извлекает информацию об учетной записи, например, Facebook Ads-manager для запуска вредоносной рекламы с сохраненными методами оплаты и Instagram через API для кражи личной информации» - сообщили исследователи.
FFDroider также поставляется с функцией загрузчика для обновления себя новыми модулями с сервера обновлений, что позволяет ему расширять свой функционал с течением времени, позволяя злоумышленникам использовать украденные данные в качестве вектора первоначального доступа к цели».
Lightning действует аналогичным образом: он может украсть токены Discord, данные криптовалютных кошельков, а также данные, относящиеся к cookies, паролям, кредитным картам и истории поиска из более чем 30 браузеров на базе Firefox и Chromium, и все это передается на сервер в формате JSON.
Исследователи Cyble заявили, что «группы, занимающиеся разработкой шифровальщиков, используют новые методы, чтобы стать более неуловимыми», добавив, что они «стали свидетелями того, как они используют программы-вымогатели для получения первоначального доступа к сети и, в конечном итоге, для организации утечки конфиденциальных данных».
Новости появилась на фоне того, что в последние месяцы вредоносные программы-стилеры все чаще встречаются в различных хакерских кампаниях, частично заполняя пустоту, образовавшуюся после ухода с рынка инфостилера Raccoon в конце марта в связи с продолжающейся спецоперацией в Украине.
В феврале 2022 года компания Cyble Research раскрыла подробности о новой угрозе под названием Jester Stealer, которая предназначена для кражи и передачи злоумышленникам учетных данных, файлов cookie, информации о кредитных картах, а также данных из менеджеров паролей, чат-мессенджеров, почтовых клиентов, криптовалютных кошельков и игровых приложений.
С тех пор в мире появилось по меньшей мере три различных программы для кражи информации, включая BlackGuard, Mars Stealer, и META, последняя из которых была замечена в рассылке вредоносного спама для сбора конфиденциальных данных.
Источник: https://thehackernews.com
