Theo bleepingcomputer, các tài khoản đặc biệt là những tài khoản đã được xác thực, là mục tiêu hàng đầu đối với các tin tặc, sở dĩ vì chúng có thể sử dụng những tài khoản này cho những hoạt động độc hại khác nhau, điển hình như các tiền điện tử và phân phối mã độc hại.
Bên cạnh đó, các tài khoản có quyền truy cập vào các nền tảng quảng cáo của , từ đó cho phép tin tặc sử dụng thông tin đăng nhập bị đánh cắp để chạy quảng cáo độc hại.
Các nhà nghiên cứu tại công ty an ninh mạng Zscaler (Hoa Kỳ) đã theo dõi các hành vi đánh cắp thông tin mới đây cũng như sự lây lan của mã độc FFDroider, đồng thời công bố một bản phân tích kỹ thuật chi tiết vào ngày 6/4/2022 dựa trên các dấu vết gần đây của mã độc này.
Giống như nhiều loại hình mã độc khác, FFDroider lây nhiễm thông qua các phần mềm crack, phần mềm miễn phí, trò chơi và các tệp khác được tải xuống từ các trang web torrent.
Khi thực hiện cài đặt các phần mềm, FFDroider cũng sẽ được cài đặt nhưng được ngụy trang và ẩn giấu thành ứng dụng Telegram trên máy tính để tránh bị phát hiện.
Sau khi khởi chạy, mã độc sẽ tạo một Windows registry có tên là “FFDroider” (cũng là tên của mã độc này).
Hình 1. FFDroider thêm registry trên hệ thống bị nhiễm
Các nhà nghiên cứu tại Zscaler đã xây dựng một lược đồ minh họa luồng tấn công, phương thức mà FFDroider được triển khai trên thiết bị của nạn nhân (Hình 2).
Hình 2. Sự lây nhiễm và quá trình hoạt động của FFDroider
FFDroid nhắm mục tiêu đến cookie và thông tin đăng nhập tài khoản được lưu trữ trong Google Chrome, Mozilla Firefox, Internet Explorer và Microsoft Edge. Ví dụ: mã độc này sẽ đọc và phân tích cú pháp cookie Chromium SQLite và SQLite Credential lưu trữ và giải mã các mục bằng cách lợi dụng Windows Crypt API, cụ thể là CryptUnProtectData function.
Quá trình hoạt động sẽ tương tự đối với các trình duyệt khác, với các chức năng như InternetGetCookieRxW và IEGet ProtectedMode Cookie bị lạm dụng để đánh cắp tất cả cookie được lưu trữ trong trình duyệt Internet Explorer và Edge.
Hình 3. Mã độc thực thi chức năng đánh cắp cookie Facebook từ trình duyệt Internet Explorer
Việc đánh cắp và giải mã dẫn đến tên người dùng và mật khẩu được hiển thị dưới dạng bản rõ, sau đó được gửi thông qua một yêu cầu HTTP POST đến máy chủ C2 (Command and Control). Cụ thế là địa chỉ: //152.32.228.19/seemorebty.
Hình 4. Lọc dữ liệu bị đánh cắp thông qua POST request
Không giống như nhiều mã độc đánh cắp mật khẩu khác, nhóm tin tặc phát triển của FFDroid không quan tâm đến tất cả thông tin đăng nhập tài khoản được lưu trữ trong trình duyệt web. Thay vào đó, chúng đang tập trung vào việc đánh cắp thông tin đăng nhập cho các tài khoản mạng xã hội và các trang web thương mại điện tử, bao gồm Facebook, Instagram, Amazon, eBay, Etsy, Twitter và thông tin ví WAX Cloud. Mục đích chính là đánh cắp các cookie hợp lệ có thể được sử dụng để xác thực trên các nền tảng này.
HÌnh 5. Đánh cắp cookie Facebook từ trình duyệt
Khi xác thực thành công trên Facebook, FFDroider sẽ lấy tất cả các trang và giấu trang Facebook, số lượng bạn bè của nạn nhân cũng như thông tin thanh toán và phí quảng cáo từ trình quản lý Facebook Ads manager.
Tin tặc có thể sử dụng thông tin này để chạy các chiến dịch quảng cáo lừa đảo trên các nền tảng truyền thông mạng xã hội và phân phối mã độc hại trên nhiều đối tượng khác.
Với Instagram, nếu đăng nhập thành công, FFDroider sẽ mở trang web chỉnh sửa tài khoản để lấy địa chỉ email, số điện thoại di động, tên người dùng, mật khẩu và các thông tin khác của tài khoản.
Hình 6. Cookie Instagram bị đánh cắp
Sau khi có được thông tin và gửi mọi thứ đến máy chủ C2, FFDroid sẽ tập trung vào việc tải xuống các mô-đun bổ sung từ máy chủ của nó vào những khoảng thời gian cố định. Các nhà phân tích của Zscaler chưa cung cấp nhiều thông tin chi tiết về các mô-đun này, nhưng việc có chức năng download khiến mối đe dọa thậm chí còn lớn hơn.
Để phòng tránh loại mã độc này, người dùng không nên cài đặt phần mềm từ các nguồn bất hợp pháp và không xác định. Ngoài ra, có thể thông qua VirusTotal để xác định xem các chương trình chống virus nào có thể phát hiện ra phần mềm tải về là độc hại hay không.
Hình 7. Kiểm tra phần mềm trực tuyến bằng VirusTotal
Đinh Hồng Đạt
10:00 | 08/04/2022
17:00 | 01/04/2022
10:00 | 11/07/2022
09:00 | 17/03/2022
10:00 | 25/10/2024
Microsoft cho biết trong báo cáo thường niên ngày 15/10/2024 rằng Israel đã trở thành mục tiêu hàng đầu của các cuộc tấn công mạng của Iran kể từ khi cuộc chiến tranh ở Gaza bắt đầu vào năm ngoái.
11:00 | 24/10/2024
Suốt chặng đường 79 năm xây dựng, chiến đấu và trưởng thành (12/9/1945 - 12/9/2024), ngành Cơ yếu Việt Nam luôn xứng đáng là lực lượng đặc biệt tin cậy, cùng toàn Đảng, toàn quân và toàn dân lập nên những chiến công hiển hách trong sự nghiệp đấu tranh giải phóng dân tộc, giành độc lập, tự do, thống nhất đất nước, xây dựng và bảo vệ Tổ quốc.
07:00 | 14/10/2024
Ngày 19/10 tới đây, 83 đội đến từ các cơ sở đào tạo trong khu vực ASEAN sẽ tranh tài tại vòng thi chung khảo cuộc thi Sinh viên với An toàn thông tin 2024.
11:00 | 07/10/2024
Trong 02 ngày 02 - 03/10, tại Hà Nội đã diễn ra Hội thi cán bộ công đoàn giỏi năm 2024 do Ban Cơ yếu Chính phủ tổ chức nhằm khẳng định vị trí, vai trò của cán bộ công đoàn trong cơ quan, đơn vị; thúc đẩy giao lưu, học hỏi kinh nghiệm, tăng cường sự đoàn kết, thống nhất.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Bảy gia đình tại Pháp đã đệ đơn kiện TikTok, cáo buộc nền tảng này cho con của họ tiếp xúc với nội dung độc hại, dẫn đến hai trường hợp tự sát ở tuổi 15.
13:00 | 11/11/2024
Trong hai ngày 30, 31/10, tại Hà Nội, Cục Viễn thông và Cơ yếu Bộ Công an đã tổ chức Hội thi Kỹ thuật nghiệp vụ mật mã lực lượng Cơ yếu Công an nhân dân năm 2024, với sự tham gia của 136 tuyển thủ xuất sắc đại diện cho 68 cơ quan công an các đơn vị, địa phương trên toàn quốc thi đua, tranh tài.
07:00 | 01/11/2024
Dự án siêu trung tâm dữ liệu AI do Nvidia và tỷ phú Mukesh Ambani khởi xướng được kỳ vọng sẽ biến Ấn Độ thành một trung tâm công nghệ AI hàng đầu thế giới, sánh ngang với Thung lũng Silicon.
07:00 | 07/11/2024
