FFDroider ruba gli account dei social media per diffondere malware: come proteggersi

0
android

FFDroider

Gli account di Facebook, Instagram e Twitter sono nel mirino del malware FFDroider. Ecco i dettagli della nuova minaccia cyber, come si diffonde e come proteggersi.

L’ultima cyber minaccia si chiama FFDroider, un information stealer in grado di rubare le credenziali e i cookie archiviati nei browser per dirottare gli account dei social media delle vittime.

“FFDroider è l’ennesima riprova di quanto il mondo social faccia gola ai criminal hacker”, commenta Pierguido Iezzi, esperto di cyber security e CEO di Swascan. Ecco come opera e come proteggersi.

Gli attaccanti sfruttano la nuova cyber minaccia FFDroider per trafugare informazioni di valore:

  • account dei social media, soprattutto quelli verificati;
  • usare gli account verificati rubati per far girare pubblicità malevole;
  • criptovalute;
  • distribuire malware.

“Sarebbe sbagliato pensare che lo scenario degli attacchi informatici abbia virato oramai totalmente sulle ‘grandi prede’ e sugli attacchi tramite ransomware”, continua Iezzi: “Infostealer e trojan la fanno ancora da padrone – come riscontri e numero di attacchi – e sono sempre più specializzati e avanzati. La funzionalità di auto-propagazione di FFDroider e le sue capacità di accedere alle piattaforme social come Facebook e Instagram e rubare ancora più informazioni lo rendono veramente temibile. Il mondo iperconnesso di oggi e la nostra “passione” per costruire reti di contatti è qualcosa su cui i criminal hacker tentano di far leva, costruendo malware come FFDroider in grado di espandersi a macchia d’olio e amplificare la portata degli attacchi”.

Come si diffonde l’infostealer

I ricercatori di Zscaler hanno tracciato il nuovo malware e quanto è diffuso. Inoltre, hanno pubblicato un’analisi tecnica ricca di dettagli sulla base di un sample recente. FFDroider si diffonde attraverso free software o software che violano il copyright:

  • programmi craccati;
  • software libero;
  • giochi;
  • altri file scaricati illegalmente dai siti torrent.

Installando questi download (spesso illegali, tranne il software libero), FFDroider viene a sua volta installato nel sistema target, magari mascherato nell’app desktop di Telegram per evitare il rilevamento. Una volta eseguito, il malware creerà la chiave “FFDroider” nel registro di Windows (da qui il nome dato al malware).

Il vettore d’attacco: i dettagli

L’attacco prevede l’installazione del malware sui dispositivi della vittima.

FFDroid punta ai cookies e alle credenziali degli account archiviati in:

  • Google Chrome (e nei browser basati su Chrome);
  • Mozilla Firefox;
  • Internet Explorer;
  • Microsoft Edge.

Per esempio, il malware legge e analizza Chromium SQLite cookie e SQLite Credential, quindi archivia e decifra i record dei database di account abusando della libreria Windows Crypt API, in particolare la funzione CryptUnProtectData.

L’attacco avviene in maniera simile su altri browser, abusando delle funzioni come InternetGetCookieRxW e IEGet ProtectedMode Cookie per strappare tutti i cookie archiviati in Explorer e Microsoft Edge.

Come proteggersi

“Come sempre, in casi come questo”, mette in guardia Iezzi, “la prima ed efficace difesa per il singolo utente è quella di rispettare le best practice di sicurezza prestando attenzione a file e allegati che scarichiamo“.

Infatti, “FFDroider si diffonde tramite software craccati, freeware e torrent non esattamente ufficiali: quindi, tutte queste ‘soluzioni’ devono essere assolutamente evitate”, conclude Iezzi.

LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui