페이스북, 인스타그램, 트위터 계정을 훔치는 새로운 FFDroider 악성코드 발견

New FFDroider malware steals Facebook, Instagram, Twitter accounts

 

브라우저에 저장된 크리덴셜과 쿠키를 훔치고 피해자의 소셜 미디어 계정을 탈취하는 새로운 인포스틸러인 FFDroider가 발견되었습니다.

 

소셜 미디어 계정, 특히 인증된 계정은 공격자가 가상 화폐 사기 및 악성코드 배포를 포함한 다양한 공격에 사용할 수 있기 때문에 해커들에게 인기가 많습니다.

 

이러한 계정은 소셜 사이트의 광고 플랫폼에 접근할 수 있을 경우 공격자가 훔친 크리덴셜을 통해 악성 광고를 게시할 수 있기 때문에 훨씬 더 매력적입니다.

 

소프트웨어 크랙 통해 배포돼

 

Zscaler의 연구원들은 새로운 인포 스틸러를 추적하던 중 최근 샘플을 기반으로 한 자세한 기술 분석을 발표했습니다.

 

많은 악성코드와 마찬가지로 FFDroider는 소프트웨어 크랙, 무료 소프트웨어, 게임, 기타 파일을 토렌트 사이트에서 다운로드하여 확산됩니다.

 

해당 파일을 실행하면 FFDroider도 설치되지만, 이는 탐지를 피하기 위해 Telegram 데스크톱 앱으로 위장합니다.

 

일단 실행되면, 악성코드는 "FFDroider"라는 윈도우 레지스트리 키를 생성합니다.

 

 

<이미지 출처 : http://www.zscaler.com/blogs/security-research/ffdroider-stealer-targeting-social-media-platform-users>

<감염된 시스템에 레지스트리 키를 추가하는 FFDroider>

 

 

Zscaler의 연구원은 악성코드가 피해자의 기기에 설치되는 방식을 보여주는 플로우 차트를 공개했습니다.

 

 

<이미지 출처 : http://www.zscaler.com/blogs/security-research/ffdroider-stealer-targeting-social-media-platform-users>

<FFDroider의 감염 및 운영 흐름>

 

 

FFDroider는 Google Chrome(Chrome 기반 브라우저 포함), Mozilla Firefox, Internet Explorer, Microsoft Edge에 저장된 쿠키 및 계정 크리덴셜을 노립니다.

 

해당 악성코드는 Chromium SQLite 쿠키를 읽고 파싱하며 Windows Crypt API, 특히 CryptUnProtectData 기능을 악용해 SQLite 크리덴셜 항목을 저장하고 해독합니다.

 

해당 절차는 InternetGetCookieRxW 및 IEGet ProtectedMode 쿠키와 같은 기능이 Explorer 및 Edge에 저장된 모든 쿠키를 저장하기 위해 사용하는 다른 브라우저와 유사합니다.

 

 

<이미지 출처 : http://www.zscaler.com/blogs/security-research/ffdroider-stealer-targeting-social-media-platform-users>

<IE에서 Facebook 쿠키를 훔치는 악성코드 기능>

 

 

탈취 및 암호 해독을 통해 사용자 이름과 패스워드를 일반 텍스트로 생성한 다음 HTTP POST 요청을 통해 C2 서버로 전송됩니다. 이 캠페인에서 C2 주소는 http[:]//152[.]32[.]228[.]19/seemorebty였습니다.

 

 

<이미지 출처 : http://www.zscaler.com/blogs/security-research/ffdroider-stealer-targeting-social-media-platform-users>

<POST 요청을 통한 도난 데이터 유출>

 

 

소셜 미디어 계정 노려

 

다른 많은 패스워드 탈취 트로이 목마와 달리, FFDroider의 운영자는 웹 브라우저에 저장된 모든 크리덴셜을 노리는 것은 아닙니다.

 

이들은 Facebook, Instagram, Amazon, eBay, Etsy, Twitter, WAX Cloud 지갑 포털을 포함한 소셜 미디어 계정 및 온라인 상점 사이트의 크리덴셜을 훔치는데만 집중합니다.

 

이들의 목표는 이러한 플랫폼에서 인증하는 데 사용할 수 있는 유효한 쿠키를 훔치는 것이며, 악성코드는 공격 절차 중 즉석에서 해당 계정을 테스트합니다.

 

 

<이미지 출처 : http://www.zscaler.com/blogs/security-research/ffdroider-stealer-targeting-social-media-platform-users>

<브라우저에서 Facebook 쿠키 탈취>

 

 

예를 들어, Facebook에서 인증이 성공할 경우 FFDroider는 Facebook 광고 관리자에서 모든 Facebook 페이지와 북마크, 피해자의 친구 수, 계정의 청구 및 지불 정보를 가져옵니다.

 

공격자는 해당 정보를 사용하여 소셜 미디어 플랫폼에서 사기성 광고 캠페인을 실행하고, 더 많은 피해자에게 악성코드를 홍보할 수 있습니다.

 

공격자가 Instagram 로그인에 성공하면, FFDroider는 계정 편집 웹 페이지를 열어 계정의 이메일 주소, 휴대폰 번호, 사용자 이름, 비밀번호 및 기타 세부 정보를 가져옵니다.

 

 

<이미지 출처 : http://www.zscaler.com/blogs/security-research/ffdroider-stealer-targeting-social-media-platform-users>

 

<훔친 Instagram 쿠키 테스트>

 

 

흥미로운 점은, 이들은 단순히 크리덴셜을 가져오기만 하는 것이 아니라 플랫폼에 로그인하여 더 많은 정보를 훔쳐온다는 것입니다.

 

이들은 정보를 훔치고 모든 것을 C2로 보낸 후 특정 시간 간격으로 서버에서 추가 모듈을 다운로드합니다.

 

Zscaler는 해당 모듈에 대한 자세한 정보를 제공하지는 않았지만, 다운로더 기능이 있을 경우 위협은 훨씬 더 강력해집니다.

 

이러한 악성코드를 예방하려면 불법 다운로드 및 출처를 알 수 없는 소프트웨어를 사용하지 않는 것이 좋습니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/new-ffdroider-malware-steals-facebook-instagram-twitter-accounts/

http://www.zscaler.com/blogs/security-research/ffdroider-stealer-targeting-social-media-platform-users