Onderzoekers waarschuwen voor FFDroider en Lightning info-stealers die zich richten op gebruikers in het wild

Los investigadores advierten sobre los ladrones de información FFDroider y Lightning que se dirigen a los usuarios en la naturaleza Nachrichten

Cybersecurity-onderzoekers waarschuwen voor twee verschillende informatie-stelende malware, genaamd FFDroider en Bliksemstelerdie in staat zijn gegevens over te hevelen en verdere aanvallen uit te voeren.

„Ontworpen om gestolen inloggegevens en cookies naar een Command & Control-server te sturen, vermomt FFDroider zichzelf op de machines van het slachtoffer om eruit te zien als de instant messaging-applicatie ‚Telegram'“, Zscaler ThreatLabz-onderzoekers Avinash Kumar en Niraj Shivtarkar zei in een rapport dat vorige week werd gepubliceerd.

Informatie dieven, zoals de naam al aangeeft, zijn uitgerust om gevoelige informatie van gecompromitteerde machines te verzamelen, zoals toetsaanslagen, schermafbeeldingen, bestanden, opgeslagen wachtwoorden en cookies van webbrowsers, die vervolgens worden verzonden naar een extern door een aanvaller beheerd domein.

FFDroider wordt gedistribueerd via gekraakte versies van installatieprogramma’s en freeware met als hoofddoel het stelen van cookies en inloggegevens die zijn gekoppeld aan populaire sociale media en e-commerceplatforms en het gebruiken van de geplunderde gegevens om in te loggen op de accounts en andere persoonlijke accountgerelateerde informatie vast te leggen.

Webbrowsers die het doelwit zijn van de malware zijn Google Chrome, Mozilla Firefox, Internet Explorer en Microsoft Edge. De beoogde websites omvatten Facebook, Instagram, Twitter, Amazon, eBay en Etsy.

„De dief logt in op de sociale-mediaplatforms van slachtoffers met behulp van gestolen cookies, en extraheert accountinformatie zoals Facebook Ads-manager om kwaadaardige advertenties weer te geven met opgeslagen betalingsmethoden en Instagram via API om persoonlijke informatie te stelen“, aldus de onderzoekers.

FFDroider wordt ook geleverd met een downloaderfunctionaliteit om zichzelf te upgraden met nieuwe modules van een updateserver waarmee het zijn functieset in de loop van de tijd kan uitbreiden, waardoor kwaadwillende actoren de gestolen gegevens kunnen misbruiken als een vector voor initiële toegang tot een doelwit.

Hoofdfunctie van Lightning Stealer:

Lightning stealer werkt op een vergelijkbare manier in die zin dat het Discord-tokens, gegevens van cryptocurrency-portefeuilles en details met betrekking tot cookies, wachtwoorden, creditcards en zoekgeschiedenis van meer dan 30 Firefox- en Chromium-gebaseerde browsers kan stelen, die allemaal zijn geëxfiltreerd naar een server in JSON-indeling.

„Info-stealers passen nieuwe technieken toe om ontwijkend te worden“, onderzoekers van Cyble zeien voegde toe dat het „getuige was van ransomware-groepen die Info Stealers gebruikten om initiële netwerktoegang te krijgen en, uiteindelijk, gevoelige gegevens te exfiltreren.“

De ontwikkeling komt op het moment dat stealer-malware de afgelopen maanden steeds vaker voorkomt in verschillende aanvalscampagnes, deels om de leegte te vullen die is achtergelaten door Raccoon Stealer’s uitgang eind maart van de markt vanwege de aanhoudende oorlog in Oekraïne.

In februari 2022 maakte Cyble Research details bekend van een opkomende dreiging genaamd Jester Stealer dat is ontworpen om inloggegevens, cookies, creditcardgegevens en gegevens van wachtwoordbeheerders, chatberichten, e-mailclients, crypto-portefeuilles en game-apps te stelen en naar de aanvallers te verzenden.

Sindsdien zijn er ten minste drie verschillende info-stealers in het wild verschenen, waaronder BlackGuard, Mars Stealer en METAwaarvan de laatste is waargenomen via malspamcampagnes om gevoelige gegevens te verzamelen.

David
Rate author
Hackarizona