社交平台cookie出卖了你——木马FFdroider欲窃取你的账户信息丨大东话安全一、小白剧场小白：东哥

一、小白剧场
小白：东哥，最近某社交网络出现了一个事件——一个专门窃取社交平台的账户信息的邪恶木马。你听说了吗？
大东：有所耳闻，没有想到小白你的消息蛮灵通的嘛！
小白：那当然，咱也是懂得开源情报的铁杆东粉呢，话说这是一个什么样的木马病毒呢？
大东：它名为FFDroider ，是一种新型木马病毒程序，能够对信息进行窃取。
小白：它通过什么方式来窃取账户信息呢？
大东：它可以劫持社交媒体账户，通过利用cookie和凭证，这类数据一般被受害者存储在浏览器中。
小白：可以详细讲讲这个木马病毒的细节吗，东哥？
二、话说事件
大东：在2022年4月初，可为云计算提供安全服务的美国某公司研究人员发现了一种新型恶意软件，即Win32.PWS.FFDroider的软件（简称FFDroider）。
小白：这款软件发动过攻击事件吗？
大东：据该安全研究团队称， FFDroider模仿了消息应用程序Telegram ，而后者是被广泛使用的。为了执行攻击， FFDroider会首先访问用户的设备，如PC 。之后， FFDroider会从包括GoogleChrome、MozillaFirefox、InternetExplorer和MicrosoftEdge在内的浏览器窃取cookie和凭证等数据。

文章图片
Telegram应用程序（图片来自网络）
小白：窃取了cookie后，攻击者会执行哪些攻击呢？
大东：FFDroider利用盗来的cookie ，帮助攻击者登录用户的社交媒体平台，对帐户信息进行提取，之后利用这些信息窃取更多的敏感信息或个人信息，比如通过展示虚假广告，诱骗用户输入敏感信息，通过这种手段进行进一步的攻击。
小白：这款恶意软件主要会针对哪些平台发动攻击呢？
大东：该公司表示，这款恶意软件对某社交平台的攻击效果最为明显。另外，其他目标还包括电子商务平台如亚马逊、eBay和Etsy等的用户。一旦窃取了用户个人信息，犯罪分子就可以以此进行欺诈和盗取金钱等不法行为。
小白：那该恶意软件的具体窃取信息的流程是怎样的呢？
大东：该公司的研究人员对该恶意软件的传播情况进行了长期追踪，他们研究了最近的样本，并据此发表了一份详细的技术分析。利用在种子网站下载的文件， FFDroider可以传播，这些文件包括游戏、破解软件、免费软件在内，这一点，和许多其他恶意软件一样。
小白：是怎样进行传播的呢？
大东：在其他文件或软件的下载过程中，为了逃避检测， FFDroider会进行伪装，以桌面应用程序Telegram形式存在，从而完成安装。恶意软件如果被用户运行，将会创建一个Windows注册表项，其名字为“FFDroider” 。

文章图片
Zscaler模拟的FFDroider在受感染的系统上创建注册表项（图片来自网络）
小白：注册表项之后呢？
大东：cookie和账户凭证是FFDroider的目标，这些数据通常在浏览器内存储，包括GoogleChrome、MozillaFirefox、InternetExplorer和MicrosoftEdge等。
小白：那如何窃取cookie和账户凭证呢？
大东：恶意软件会滥用接口WindowsCryptAPI ，具体来说，特别是对其中函数CryptUnProtectData的滥用，能够实现对ChromiumSQLitecookie和SQLiteCredential存储的读取与解析，并解密条目。
小白：对于其他种类的浏览器的攻击方式也一样吗？
大东：窃取其他浏览器的过程与之类似，举例来说，为了对所有存储在Explorer和Edge中的Cookie进行抓取，会使用功能InternetGetCookieRxW和IEGetProtectedModeCookie等。