Cybersecurity-Forscher warnen vor zwei verschiedenen Malware-Programmen mit den Namen FFDroider und Lightning Stealer, die in der Lage sind, Daten abzuschöpfen und weitere Angriffe zu starten.
„FFDroider wurde entwickelt, um gestohlene Zugangsdaten und Cookies an einen Command & Control Server zu senden und tarnt sich auf den Rechnern der Opfer als die Instant-Messaging-Anwendung ‚Telegram'“, so die Zscaler ThreatLabz-Forscher Avinash Kumar und Niraj Shivtarkar in einem Bericht, der letzte Woche veröffentlicht wurde.
Informationsdiebe sind, wie der Name schon sagt, in der Lage, sensible Informationen von kompromittierten Computern abzugreifen, wie z. B. Tastatureingaben, Screenshots, Dateien, gespeicherte Passwörter und Cookies von Webbrowsern, die dann an eine vom Angreifer kontrollierte Domain übertragen werden.
FFDroider wird über geknackte Versionen von Installationsprogrammen und Freeware verbreitet, deren primäres Ziel es ist, Cookies und Anmeldedaten von beliebten Social-Media- und E-Commerce-Plattformen zu stehlen und die geplünderten Daten zu nutzen, um sich in die Konten einzuloggen und andere persönliche kontobezogene Informationen zu erfassen.
Zu den von der Malware angegriffenen Webbrowsern gehören Google Chrome, Mozilla Firefox, Internet Explorer und Microsoft Edge. Zu den angegriffenen Websites gehören Facebook, Instagram, Twitter, Amazon, eBay und Etsy.
„Der Stealer meldet sich mit gestohlenen Cookies bei den Social-Media-Plattformen der Opfer an und extrahiert Kontoinformationen wie den Facebook-Ads-Manager, um bösartige Werbung mit gespeicherten Zahlungsmethoden zu schalten, und Instagram über die API, um persönliche Daten zu stehlen“, so die Forscher.
FFDroider verfügt außerdem über eine Downloader-Funktion, mit der er sich selbst mit neuen Modulen von einem Update-Server aufrüsten kann, wodurch er seinen Funktionsumfang mit der Zeit erweitern kann.
Hauptfunktion von Lightning Stealer
Lightning Stealer funktioniert ähnlich: Er kann Discord-Token, Daten aus Kryptowährungs-Wallets und Details zu Cookies, Passwörtern, Kreditkarten und Suchverläufen von mehr als 30 Firefox- und Chromium-basierten Browsern stehlen, die alle im JSON-Format an einen Server übertragen werden.
„Info Stealers nutzen neue Techniken, um sich zu tarnen“, so die Cyble-Forscher und fügten hinzu: „Ransomware-Gruppen nutzen Info Stealers, um sich zunächst Zugang zum Netzwerk zu verschaffen und schließlich sensible Daten zu exfiltrieren“.
Diese Entwicklung ist darauf zurückzuführen, dass Stealer-Malware in den letzten Monaten immer häufiger in verschiedenen Angriffskampagnen auftaucht, zum Teil um die Lücke zu füllen, die der Raccoon Stealer Ende März aufgrund des anhaltenden Krieges in der Ukraine hinterlassen hat.
Im Februar 2022 veröffentlichte Cyble Research Details zu einer neuen Bedrohung namens Jester Stealer, die darauf ausgelegt ist, Anmeldedaten, Cookies, Kreditkarteninformationen sowie Daten aus Passwortmanagern, Chat-Messengern, E-Mail-Clients, Krypto-Wallets und Spiele-Apps zu stehlen und an die Angreifer zu übermitteln.
Seitdem sind mindestens drei weitere Infodiebe aufgetaucht, darunter BlackGuard, Mars Stealer und META, von denen letzterer über Malspam-Kampagnen verbreitet wurde, um sensible Daten zu sammeln.