據Bleeping Computer消息，Zscaler 的研究人員正追蹤一款名為FFDroider 的新型信息竊取程序，它正通過竊取存儲在瀏覽器中的憑證和 cookie 以劫持受害者的社交媒體帳戶。

與許多惡意軟件一樣，FFDroider通過利用偽裝成破解軟件、免費軟件、游戲和其他從 torrent 站點下載的文件進行傳播。在下載安裝時，會創建一個名為“FFDroider”的 Windows 注冊表項，這也是該惡意軟件名稱的由來。

FFDroider 在受感染的系統上添加注冊表項 (Zscaler)

FFDroid主要針對存儲在 Google Chrome(和基于 Chrome 的瀏覽器)、Mozilla Firefox、Internet Explorer 和 Microsoft Edge 中的 cookie 和帳戶憑證。例如，該惡意軟件通過濫用Windows Crypt API，特別是CryptUnProtectData函數，讀取和解析Chromium SQLite cookie和SQLite Credential存儲并解密條目。

其他瀏覽器的程序也類似，像濫用InternetGetCookieRxW 和 IEGet ProtectedMode Cookie 等功能，竊取存儲在 Explorer 和 Edge 中的所有 cookie。竊取和解密會產生明文用戶名和密碼，然后通過 HTTP POST 請求將其泄露到 C2 服務器。

FFDroid從 IE竊取 Facebook cookie (Zscaler)

與許多其他竊取密碼的木馬不同，FFDroid 只專注于存儲在網絡瀏覽器中的社交媒體賬戶和電子商務網站憑證，竊取可用于在這些平臺上進行身份驗證的有效 cookie，其目標包括 Facebook、Instagram、亞馬遜、eBay、Etsy、Twitter 和 WAX Cloud 錢包。

例如，如果攻擊者在 Facebook 上的身份驗證成功，FFDroider 會從 Facebook 廣告管理器獲取所有 Facebook 頁面和書簽、受害者朋友數量以及他們的帳戶賬單和付款信息，并使用這些信息在社交媒體平臺上開展欺詐性廣告活動，將惡意軟件傳播給更多的受眾;而如果成功登錄 Instagram，FFDroider 將打開賬戶編輯頁面，獲取賬戶的電子郵件地址、手機號碼、用戶名、密碼等詳細信息。

FFDroid分別從Facebook和Instagram竊取 cookie(Zscaler)

由此可見，FFDroid的套路不僅在于試圖獲取憑證，還試圖登錄相應平臺并竊取更多信息。在將這些信息發送到C2后，FFDroid還會以固定的時間間隔從其服務器上下載并部署其它模塊。Zscaler 的分析師沒有提供有關這些模塊的詳細信息，但這會使威脅更加強大。

參考來源：https://www.bleepingcomputer.com/news/security/new-ffdroider-malware-steals-facebook-instagram-twitter-accounts/