محققان امنیت سایبری در مورد دو بدافزار سرقت کننده اطلاعات به نام‌های FFDroider و Lightning Stealer هشدار می‌دهند، بدافزارهایی که قادر به استخراج و سرقت اطلاعات حساس و اجرای حملات بر روی دستگاه قربانیان هستند.

به‌گزارش مرکز مدیریت راهبردی افتا: محققان شرکت Zscaler ThreatLabz در گزارشی اعلام کردند که بدافزار FFDroider که برای استخراج و ارسال اطلاعات کاربری و کوکی‌ها (cookies) به یک سرور کنترل و فرماندهی (Command & Control – به‌اختصار C2) طراحی‌شده، خود را بر روی دستگاه قربانی شبیه برنامه پیام‌رسان “Telegram” نشان می‌دهد.
سارقین اطلاعات، همان‌طور که از نام آن‌ها پیداست، به ابزارهایی برای جمع‌آوری اطلاعات حساس از سیستم‌های آسیب‌پذیر، مجهز هستند.
این اطلاعات شامل کلیدهای فشرده‌شده روی صفحه‌کلید (Keystroke)، تصاویر گرفته‌شده از صفحه‌نمایش (Screenshot)، فایل‌ها، رمزهای عبور ذخیره‌شده و کوکی‌های مرورگرهای وب است و   سپس اطلاعات سرقت شده به یک دامنه تحت اختیار مهاجمان منتقل می‌شود.
بدافزار FFDroider از طریق نسخه‌های کرک شده و نرم‌افزارهای رایگان باهدف اصلی سرقت کوکی‌ها و اطلاعات کاربری مرتبط با رسانه‌های اجتماعی محبوب و بسترهای تجارت الکترونیک منتشر می‌شود. 
این بدافزار با به‌کارگیری داده‌های سرقت شده و ورود به حساب‌های کاربری قربانیان، به سایر اطلاعات مربوط به‌حساب شخصی آن‌ها دسترسی پیدا می‌کند.

این بدافزار عموماً مرورگرهایی نظیر Google Chrome، Mozilla Firefox، Internet Explorer و Microsoft Edge و سایت‌های Facebook، Instagram، Twitter، Amazon، eBay و Etsy را هدف قرار می‌دهد.
محققان امنیتی می‌گویند، مهاجمان با استفاده از کوکی‌های سرقت شده، به حساب‌های کاربری شبکه‌های اجتماعی قربانیان وارد شده و از طریق روش‌های پرداخت ذخیره‌شده، به اطلاعات حساب آن‌ها نظیر Facebook Ads-manager دست می‌یابند تا تبلیغات جعلی و مخرب ایجاد و اجرا کنند. آن‌ها در Instagram نیز، اطلاعات شخصی را با به‌کارگیری API استخراج می‌کنند.
همچنین بدافزار FFDroider دارای قابلیت ارتقاء خودکار خود به ماژول‌های جدید از طریق یک سرور به‌روزرسانی است که به آن امکان می‌دهد مجموعه امکانات خود را در طول زمان و به‌مرور گسترش دهد و مهاجم را قادر می‌سازد از داده‌های سرقت شده برای دسترسی اولیه به اهداف موردنظر بهره‌برداری کند.
مشروح گزارش منتشرشده در خصوص بدافزار FFDroider، جزئیات حمله و نشانه‌های آلودگی آن در این نشانی قابل‌مطالعه است.

بدافزار Lightning Stealer نیز به روشی مشابه عمل می‌کند و می‌تواند داده‌های مربوط به بستر ارتباطی Discord، کیف‌های پول رمز ارز، کوکی‌ها، رمزهای عبور، کارت‌های اعتباری و تاریخچه جستجو را از بیش از 30 مرورگر مبتنی بر Firefox و مبتنی بر Chromium استخراج و اطلاعات سرقت شده را با فرمت JSON به یک سرور ارسال کند.
محققان شرکت سی‌بل (Cyble Inc.) بر این باورند که سارقین اطلاعات، شگردهای جدیدی را برای شناسایی نشدن به کار می‌گیرند.
 گروه‌های باج‌افزاری از بدافزارهای سرقت کننده اطلاعات نظیر Lightening Stealer برای دسترسی اولیه به شبکه و در نهایت استخراج داده‌های حساس استفاده می‌کنند.
به‌تازگی بدافزارهای سرقت کننده اطلاعات نظیر FFDroider و Lightning Stealer به‌طور فزاینده‌ای در کارزارهای مختلف به کار گرفته‌شده‌اند، به‌خصوص از اوایل فروردین‌ماه با توقف فعالیت Raccoon Stealer به دلیل جنگ روسیه و اوکراین.
Raccoon Stealer نیز یک بدافزار سرقت‌کننده اطلاعات است. گردانندگان این بدافزار در توییتی در تاریخ 5 فروردین 1401 پس از ادعای مرگ یکی از مسئولین این بدافزار در حمله به اوکراین، اعلام کردند که فعالیت خود را به حالت تعلیق درآورده‌اند.
در بهمن 1400 نیز محققان جزئیات بدافزاری جدید به نام Jester Stealer را افشاء کردند که برای سرقت و انتقال انواع اطلاعات از دستگاه قربانیان طراحی‌شده است. از آن زمان تاکنون، حداقل سه بدافزار سرقت‌کننده اطلاعات مختلف، از جمله BlackGuard، Mars Stealer و META شناسایی‌شده‌است.

منبع:

https://thehackernews.com/2022/04/researchers-warn-of-ffdroider-and.html

https://afta.gov.ir/fa-IR/Portal/4927/news/view/14608/2076/Staging/%D8%A8%D8%AF%D8%A7%D9%81%D8%B2%D8%A7%D8%B1%D9%87%D8%A7%DB%8C-FFDroider-%D9%88-Lightning-Stealer%D8%9B-%D8%B3%D8%A7%D8%B1%D9%82%DB%8C%D9%86-%D8%AC%D8%AF%DB%8C%D8%AF-%D8%A7%D8%B7%D9%84%D8%A7%D8%B9%D8%A7%D8%AA

(با تشکر از شرکت مهندسی شبکه گستر برای همکاری در تهیه این گزارش)