一、事件简介

近日,国外安全团队Zscaler发现了一起针对国外社交软件的信息窃取事件,攻击者将FFDroider家族的恶意软件伪装为国外知名社交软件Telegram,并将恶意软件上传到第三方下载网站引导用户下载,实现大规模传播和感染。

在本次事件中,受害主机一旦感染FFDroider恶意软件家族,攻击者就可以窃取其浏览器中关于Facebook、Instagram、Amazon、Ebay、Twitter等网站的cookie和凭证信息,并且获取到可直接登陆相应网站的账号,造成严重的信息泄露后果。

伏影实验室针对该事件中的攻击技术进行深入分析,发现该信息窃取工具经轻微修改就能够针对国内用户实施类似的攻击,窃取国内公民的个人信息。伏影实验室使用与该恶意软件类似的技术手段对研究员个人主机进行安全测试,发现在浏览器的默认安全配置下,可以窃取到Taobao/Weibo/QQ等网站存储在cookie中的个人账号信息。

伏影实验室认为攻击者为了进一步扩大感染范围,会衍生出更多投递方式,如利用垃圾邮件、水坑网站等。因此,应持续对该恶意软件的分发渠道进行长期监控,及时处置此类威胁。同时,应加大对个人PC上来源不明的安装程序检查力度,限制企事业单位员工个人从非官网渠道下载安装程序,以保障内部网络的安全性。

二、攻击技术模拟

虽然该恶意软件的主要目标为国外社交媒体网站,但伏影实验室通过复现该恶意软件使用的攻击技术,实现信息窃取,获取测试电脑上Taobao/Weibo/QQ等网站缓存在浏览器cookie中的个人账号信息。

图2.1 获取taobao网站的个人账号信息

图2.2 获取weibo网站的个人账号信息

图2.3 获取QQ网站的个人账号信息

三、攻击流程

攻击者使用将恶意软件上传到第三方下载网站这一手段作为其主要的投递方式,当受害者下载恶意软件后,该恶意软件将会扫描主机上的浏览器并窃取各种社交网站的cookie及凭证信息,并以此来获取受害者的个人信息,最终上传到攻击者的C&C服务器上。

图3.1 攻击流程图

攻击者为了提高该恶意软件在网络传播的可靠性,利用ASPack v2.12打包器对该恶意软件进行压缩,以减少恶意软件的文件大小,并逃避杀毒软件的静态检测。当恶意软件在受害主机运行后,会复制自身到指定目录下并检测是否运行了相同进程,以防止多实例运行。

图3.2 互斥体检测多实例进程

图3.3 文件复制操作

3.1 主要功能

恶意软件加载运行后,会执行一系列的初始化操作,如动态加载库函数、与C2服务器的网络初始化、窃密函数初始化等,并扫描受害主机是否存在常见浏览器,如Chrome、IE、Edge、Firefox等;一旦存在相应浏览器,恶意软件将会遍历浏览器安装目录获取浏览器存储的社交网站cookie及凭证信息,获取所对应的个人信息。

在获取各种浏览器cookie及凭证信息后,恶意软件检测受害主机的cookie信息中是否存在facebook、instagram、ebay、etsy等社交媒体账号;如果存在,则恶意软件将会爬取相应的账号信息。

该恶意软件的另一个重要功能是向C&C服务器下载其他模块用于升级自身,通过动态加载运行其下载的文件,使该窃取程序能不断扩展其窃取功能。

图3.4 初始化操作

图3.5 上传恶意软件名称用于网络初始化

攻击的浏览器:

  • 谷歌浏览器

  • 火狐浏览器

  • IE浏览器

  • 微软Edge

图3.6 目标浏览器

图3.7 目标网站

3.1.1 窃取Chrome信息

获取chrome浏览器的cookie,保存到与恶意软件相同目录下的”d”文件中,获取chrome浏览器中的凭证信息,保存到与恶意软件相同目录下的”p”文件中,并使用CryptProtectData ()/CryptUnProtectData ()获取凭证信息所对应的内容。

图3.8 获取浏览器信息

图3.9 获取cookie信息

图3.10 获取chrome的cookie目录

图3.11 保存到d文件

图3.12 获取凭证信息

3.1.2 窃取IE/Edge浏览器信息

动态加载一系列专门获取IE/Edge浏览器信息的库函数,如IEGetProtectedModeCookie等,并把WebCacheV01.dat文件内容保存d文件中。

图3.13 调用库函数获取浏览器信息

图3.14 获取WebCacheV01.dat

图3.15 保存文件

3.1.3 窃取FireFox浏览器信息

读取Firefox的C:\\Users\\[username]\\AppData\\Roaming\\Mozilla\\Firefox\\cookies.sqlite文件,并调用sql查询语句来获取Firefox的信息。

图3.16 获取cookies.sqlite

图 3.17 解释cookies.sqlite文件

3.1.4 获取Facebook及instagram的账单信息

图3.18 获取facebook的账单

图3.19 获取instagram账号信息

3.1.5 下载器功能

恶意软件尝试访问C&C服务器并下载其他模块来升级自身,一旦下载成功,利用ShellExecute函数进行加载运行。

图3.20 下载并运行模块

图3.21 Download函数

预防措施

该恶意软件利用了受害者薄弱的安全意识进行传播,随意下载未经验证的安装程序的行为使得该恶意软件的传播变得异常轻松。为了防止类似事件的发生,对于个人用户,应对下载的文件进行必要的安全检查,不要在非官方网站下载软件,需要提高自身的安全意识;对于企事业单位,应加强员工网络安全意识教育,增强内部网络安全,确保每一台主机都安装有终端安全软件。

对于个人用户,我们建议针对浏览器的cookie存储权限进行相应限制。

图4.1 阻止所有cookie信息

声明:本文来自绿盟科技威胁情报,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。