FFDroider新型恶意软件伪装成Telegram，窃取凭据和cookie

安全研究人员称，发现一种名为 FFDroider 的新型信息窃取恶意软件，伪装成流行的即时通讯应用程序 Telegram，并从受感染的机器中窃取凭据和 cookie。此外，该恶意软件还能够从多个浏览器中窃取数据，包括 Chrome、Mozilla Firefox、Internet Explorer 和 Microsoft Edge。

近日，一种基于 Windows 的新型恶意软件被安全研究人员发现，该恶意软件创建了一个注册表项为 FFDroider。因此，安全研究人员将这个恶意软件命名为： Win32.PWS.FFDroider。FFDroider的设计目的是将偷来的凭证和cookie发送到命令与控制服务器，它将自己伪装在受害者的机器上，看起来像即时通讯应用程序“Telegram”。

专家们发现了多个 FFDroider 攻击活动，所有攻击都利用了受污染的破解版安装程序和免费软件。

FFDroider 信息窃取器实现的主要功能

1、从受害者的机器上窃取 cookie 和凭据；

2、针对社交媒体平台窃取凭据和 cookie；

3、窃取者使用窃取的 cookie 登录受害者的社交媒体平台，并提取 Facebook Ads-manager 等帐户信息以使用存储的支付方式投放恶意广告，并通过 API 窃取 Instagram 以窃取个人信息；

4、利用 Windows 防火墙中的入站白名单规则，允许将恶意软件复制到所需位置；

5、攻击者使用跟踪感染计数。

FFDroider的感染和操作流程图

针对社交媒体网络

该恶意软件能够从多个浏览器中窃取数据，包括 Chrome、Mozilla Firefox、Internet Explorer 和 Microsoft Edge。FFDroider 还针对 Facebook、Instagram、Twitter、亚马逊、eBay 和 Etsy 等网站。此外，还支持下载器功能，该功能用于通过从更新服务器下载新模块来升级自身。模块化结构允许信息窃取者随着时间的推移添加新功能。

FFDroider不仅可以窃取凭证，而且可以登录平台并获得更多的信息。由于FFDroider拥有下载器功能，使得它的威胁变得更加大。为了保护好信息数据安全，应该避免随意安装软件，远离非法下载和未知软件来源。从根源上，避免安装恶意软件，以免造成不必要的损失。