FFDroider恶意软件可窃取国内用户隐私数据

一

事件简介

近日，国外安全团队Zscaler发现了一起针对国外 交软件的信息窃取事件，攻击者将FFDroider家族的恶意软件伪装为国外知名 交软件Telegram，并将恶意软件上传到第三方下载 站引导用户下载，实现大规模传播和感染。

在本次事件中，受害主机一旦感染FFDroider恶意软件家族，攻击者就可以窃取其浏览器中关于Facebook、Instagram、Amazon、Ebay、Twitter等 站的cookie和凭证信息，并且获取到可直接登陆相应 站的账 ，造成严重的信息泄露后果。

伏影实验室针对该事件中的攻击技术进行深入分析，发现该信息窃取工具经轻微修改就能够针对国内用户实施类似的攻击，窃取国内公民的个人信息。伏影实验室使用与该恶意软件类似的技术手段对研究员个人主机进行安全测试，发现在浏览器的默认安全配置下，可以窃取到Taobao/Weibo/QQ等 站存储在cookie中的个人账 信息。

二

攻击技术模拟

虽然该恶意软件的主要目标为国外 交媒体 站，但伏影实验室通过复现该恶意软件使用的攻击技术，实现信息窃取，获取测试电脑上Taobao/Weibo/QQ等 站缓存在浏览器cookie中的个人账 信息。

图2.1 获取taobao 站的个人账 信息

图2.2 获取weibo 站的个人账 信息

图2.3 获取QQ 站的个人账 信息

三

攻击流程

攻击者使用将恶意软件上传到第三方下载 站这一手段作为其主要的投递方式，当受害者下载恶意软件后，该恶意软件将会扫描主机上的浏览器并窃取各种 交 站的cookie及凭证信息，并以此来获取受害者的个人信息，最终上传到攻击者的C&C服务器上。

图3.1 攻击流程图

攻击者为了提高该恶意软件在 络传播的可靠性，利用ASPack v2.12打包器对该恶意软件进行压缩，以减少恶意软件的文件大小，并逃避杀毒软件的静态检测。当恶意软件在受害主机运行后，会复制自身到指定目录下并检测是否运行了相同进程，以防止多实例运行。

图3.2 互斥体检测多实例进程

图3.3 文件复制操作

3.1 主要功能

恶意软件加载运行后，会执行一系列的初始化操作，如动态加载库函数、与C2服务器的 络初始化、窃密函数初始化等，并扫描受害主机是否存在常见浏览器，如Chrome、IE、Edge、Firefox等；一旦存在相应浏览器，恶意软件将会遍历浏览器安装目录获取浏览器存储的 交 站cookie及凭证信息，获取所对应的个人信息。

在获取各种浏览器cookie及凭证信息后，恶意软件检测受害主机的cookie信息中是否存在facebook、instagram、ebay、etsy等 交媒体账 ；如果存在，则恶意软件将会爬取相应的账 信息。

该恶意软件的另一个重要功能是向C&C服务器下载其他模块用于升级自身，通过动态加载运行其下载的文件，使该窃取程序能不断扩展其窃取功能。

图3.4 初始化操作

图3.5 上传恶意软件名称用于 络初始化

攻击的浏览器:

图3.6 目标浏览器

图3.7 目标 站

3.1.1 窃取Chrome信息

获取chrome浏览器的cookie，保存到与恶意软件相同目录下的”d”文件中，获取chrome浏览器中的凭证信息，保存到与恶意软件相同目录下的”p”文件中，并使用CryptProtectData /CryptUnProtectData 获取凭证信息所对应的内容。

图3.8 获取浏览器信息

图3.9 获取cookie信息

图3.10 获取chrome的cookie目录

图3.11 保存到d文件

图3.12 获取凭证信息

3.1.2 窃取IE/Edge浏览器信息

动态加载一系列专门获取IE/Edge浏览器信息的库函数，如IEGetProtectedModeCookie等，并把WebCacheV01.dat文件内容保存d文件中。

图3.13 调用库函数获取浏览器信息

图3.14 获取WebCacheV01.dat

图3.15 保存文件

3.1.3 窃取FireFox浏览器信息

读取Firefox的C:Users[username]AppDataRoamingMozillaFirefoxcookies.sqlite文件，并调用sql查询语句来获取Firefox的信息。

图3.16 获取cookies.sqlite

图 3.17 解释cookies.sqlite文件

3.1.4 获取Facebook及instagram的账单信息

图3.18 获取facebook的账单

图3.19 获取instagram账 信息

3.1.5 下载器功能

恶意软件尝试访问C&C服务器并下载其他模块来升级自身，一旦下载成功，利用ShellExecute函数进行加载运行。

图3.20 下载并运行模块

图3.21 Download函数

四

预防措施

该恶意软件利用了受害者薄弱的安全意识进行传播，随意下载未经验证的安装程序的行为使得该恶意软件的传播变得异常轻松。为了防止类似事件的发生，对于个人用户，应对下载的文件进行必要的安全检查，不要在非官方 站下载软件，需要提高自身的安全意识；对于企事业单位，应加强员工 络安全意识教育，增强内部 络安全，确保每一台主机都安装有终端安全软件。

对于个人用户，我们建议针对浏览器的cookie存储权限进行相应限制。

图4.1 阻止所有cookie信息

关于绿盟科技伏影实验室

绿盟威胁情 中心

绿盟威胁情 中心（NSFOCUS Threat Intelligence center, NTI）是绿盟科技为落实智慧安全3.0战略，促进 络空间安全生态建设和威胁情 应用，增强客户攻防对抗能力而组建的专业性安全研究组织。其依托公司专业的安全团队和强大的安全研究能力，对全球 络安全威胁和态势进行持续观察和分析，以威胁情 的生产、运营、应用等能力及关键技术作为核心研究内容，推出了绿盟威胁情 平台以及一系列集成威胁情 的新一代安全产品，为用户提供可操作的情 数据、专业的情 服务和高效的威胁防护能力，帮助用户更好地了解和应对各类 络威胁。（绿盟威胁情 中心官 ：https://nti.nsfocus.com/）

推荐阅读

当“健康码”系统遭遇DDoS攻击了怎么办？

4-30 特稿

“请问，俄乌冲突将如何影响半岛局势？”

4-29 特稿

再探工业控制系统安全—乌克兰电厂攻击事件

4-28 特稿