研究人员发现了针对Windows设备的新恶意软件。该恶意软件被标识为“FFDroider”，通常旨在从Windows系统中窃取登录凭据。

在今天的网络攻击中，普遍观察到凭证窃取恶意软件。Zscaler ThreatLabz团队在不同的攻击活动中发现了许多新类型的窃取恶意软件。攻击者利用各种技术收集敏感信息，包括键盘记录、cookie窃取和将窃取的信息发送到指令和控制服务器。

最近，Zscaler ThreatLabz发现一个基于Windows的新型恶意软件创建了一个注册表键，称为FFDroider。基于这一观察，Zscaler ThreatLabz将这种新的恶意软件命名为Win32.PWS.FFDroider。FFDroider旨在将被盗的凭证和cookies发送到指令和控制服务器，它在受害者的机器上伪装成即时通信应用程序 "Telegram"。

威胁实验室在zscaler云中观察到多个与FFDroider窃取器有关的活动，这些活动通过受攻击的URL download.studymathlive[.]com/normal/lilay.exe到达，并通过嵌入到破解版本的安装程序和免费软件中的恶意程序连接起来。

这种攻击的主要特点

攻击周期如下图所示：

本文主要关注对窃取程序及其功能的分析。

FFDroider 窃取程序分析

FFDroider窃取程序是用流行的 "ASPack v2.12 "封包程序打包的。为了更好地了解该窃取程序的工作原理，Zscaler ThreatLabz对该恶意软件进行了解包、反编译和调试，在执行过程中执行了以下任务:

一个最初的GET请求与文件名一起通过以下方式发送给指令与控制服务器 WinHTTPSendRequest().

对这一请求的响应是一个iplogger.org URL，它被用来记录恶意软件执行所处环境的公共IP地址，并可能被攻击者用来跟踪受害者的位置和IP地址的详细信息。在分析了多个嵌入式iplogger URL的统计数据后，我们可以看到下面的截图中IP地址是如何被记录的
IPLogger URL:  https[:]//iplogger[.]org/logger/ey4zrs2miAY6

-  目标浏览器：

-  目标网站:

了解Cookie和Credential Stealer程序：

i) 从C:\Users\<username>\AppData\Local\Google\Chrome\UserData\Default\Network\Cookies中读取并解析Chromium SQLite Cookie存储，并使用WriteFile()将文件写入二进制文件所在的路径，命名为 "d"

ii) 从C:\Users\<username>\Appdata\Local\Chrome\User Data\Default\Login Data中读取并解析Chromium SQLite凭证库，其中包含保存的凭证，并使用名为 "p "的WriteFile()将其写入二进制文件所在的路径，因为凭证库被锁定在AppData目录。

iii) Chrome SQlite凭证存储包括属性--action_url、username_value、password_value，其中password_value使用Windows Crypt API即CryptProtectData进行加密。在这种情况下，恶意软件通过执行SQL查询，如 "select username_value, password-value FROM logins where origin_url like `%ebay.com/%\';"，首先解析 "登录数据 "凭证存储，从而解密加密的密码blob，如下面的截图所示：

密码缓存从输出中获取，并传递给CryptUnProtectData()函数进行内存解密，显示出从目标网络应用凭证库中窃取的明文凭证。

iv) 然后它读取并解析存储在C:\Users\<username>\AppData\Local\Google\Chrome\UserData\LocalState的本地状态cookie，并使用WriteFile()写到二进制文件所在的名为 "u "的路径。

在这里，Cookies也在内存中使用CryptUnprotectData()函数进行解密，加载json "本地状态 "文件并过滤出两个参数：os_crypt和encrypted_key，然后使用CryptUnprotectData()进行解密并存储在内存。

下面的解密程序发生在所有的Chrome浏览器商店中，实现了相同的过程，通过sqlite3库使用SELECT SQL查询来获取所需的值，然后用CryptUnprotectData()函数来解密内存中的cookie和凭证，正如目标网站一样。

i) 该恶意软件执行InternetGetCookieRxW()函数，以检索上述目标网站的cookie（只读取HTTP cookie），如果它们受到限制，则使用IEGetProtectedModeCookie()函数来访问所有目标应用程序的低完整性cookie，在此期间，它启动了另一个进程 "IElowutil.exe"，这是一个用于访问低完整性cookie和进程的工具。

它还读取Appdata\Roaming\Microsoft\Windows\Cookies，并从Cookie存储中获取Cookie和URL的详细信息，同时它还解析Cookie、历史记录和从Microsoft Edge WebCache中下载：

C:\Users\<username>\Appdata\Local\Microsoft\Windows\WebCache\WebCacheV01.dat，将其复制到二进制文件所在的地方，命名为 "d "的文件，该文件早期有chrome cookies。

此外，它读取和解析Appdata\Roaming\Microsoft\-Windows\History\History.IE5和\Appdata\Local\Microsoft\Windows\Temporary internet files\Content.IE5，这将允许恶意软件读取浏览历史和Internet Explorer缓存，其中它查询目标网站的属性，如访问的URL、文件名等元数据。此外，该恶意软件还计划通过利用Rasapi32.dll的API调用，从\Appdata\Microsoft\Network\Connections\Pbk\rasphone.pbk和\Pbk\rasphone.pbk中窃取保存的VPN/Dial Up凭据。

Facebook和Instagram的数据收集：

FFDroider窃取器拥有另一个功能，如果恶意软件从任何一个目标浏览器抓取facebook.com或instagram.com的cookie，cookie会被重放至www[.]facebook[.]com和www[.]instagram[.]com，以收集用户Facebook或Instagram账户的情报。

Facebook:

恶意软件抓取cookie值后执行了以下请求:

i) 最初，它向https[:]//facebook[.]com发送一个GET请求，同时从目标浏览器窃取facebook cookie，以检查恶意软件是否能够使用以下一组窃取的cookie进行验证。

ii)  如果cookies是有效的，并提供适当的认证，它将进一步发送一个GET /settings与访问token到facebook.com，以及认证的偷来的cookies，以获取被入侵账户的用户账户设置。

iii) 此外，它开始列举被入侵的用户账户是否是商业账户，以及是否可以访问Facebook广告管理器，并通过解析响应，利用偷来的cookies获取以下细节：

Facebook朋友的数量和其他用户的相关信息

以下信息以后可能被利用，从受害者的账户中运行恶意广告，并利用被破坏的账户支付方式进一步传播恶意软件。

Instagram:

在instagram的案例中，每当恶意软件从目标浏览器的cookie存储中抓取任何instagram的cookie时，它就会执行以下程序，从Instagram账户中窃取用户账户的详细信息，具体如下：

i)  最初，它向https[:]/instagram[.]com发送一个GET请求，连同被窃取的instagram cookie，以检查恶意软件是否能够使用以下一组被窃取的cookie进行验证，并解析html响应。

ii) 如果有一个有效的响应，它就会向instagram服务器发送下一个GET请求，其中包括被入侵账户的用户名GET /<username>，这是从之前的响应中解析出来的，基本上是访问个人资料页面。

iii) 此外，它还发送了另一个请求。GET /accounts/edit/到www[.]instagram.com，打开包含所有个人账户相关信息的账户设置，如账户的电子邮件地址、手机号码和其他被入侵账户的细节。

此外，以同样的方式，所有与账户有关的信息，如用户名、密码、手机号码和其他账户细节，都是以cookies的形式从目标网站上抓取的，并通过不同的API获取，然后以加密的方式发送给威胁者的指令和控制服务器，如下文所述。 

将被盗信息窃取到C2服务器：

然后，恶意软件向C2服务器发送HTTP POST请求：http[:]/152[.]32[.]228[.]19/seemorebty连同加密的缓存数据一起进行窃取

当一个有效的Facebook账户cookie被提供给chrome浏览器中的恶意软件时，这种使用修改过的base64编码的加密数据就会从受感染的系统发送到C&C。解密的json正文可以在下面的截图中看到，与Facebook有关的渗透，其中大量的Facebook用户账户信息已被传输到C2：

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！