السلام عليكم و رحمة الله تعالي و بركاته و مرحبًا أيها الأصدقاء الرائعون متابعي و رواد مدونة Brahim Technical Web، اليوم سوف نناقش معكم ، موضوع في غاية الاهمية و الخطورة ، موضوع سرقة معلوماتنا و حساباتنا من مواقع التواصيل الاجتماعي
نحن نعلم ان اغالب الناس تمتلك حسابات في مواقع Facebook و Instagram و Twitter، وكل واحد السبب الذي فتح من اجله حسابات في مواقع التواصيل الاجتماعي ، فمن منا كان هدفه العمل على الانترنت ، واخر تقديم خدمة و شرحات في مجال اختصاصه للناس ، و اخر التعليم ، و اخر لمواكبة اخبار العالم ، كلنا و هدفه ، و لكن اغالبنا يجهل البرامج و المخاطر و التهديدات التي تستهدف حساباته
لهذا الغرض اردنا اليوم التحدث عن احد هذه البرامج الخبيثة التي تهديد حساباتنا و تسرق معلوماتنا من مواقع التواصيل الاجتماعي ، انه برنامج الجديد اسمه FFDroider يسرق حسابات Facebook و Instagram و Twitter
%20(1).webp?resize=320%2C179&ssl=1 "احذر من سرقة حساباتك على Facebook و Instagram و Twitter")
تعد حسابات وسائل التواصل الاجتماعي ، وخاصة تلك التي تم التحقق منها ، هدفًا جذابًا للمتسللين حيث يمكن لممثلي التهديد استخدامها في العديد من الأنشطة الضارة ، بما في ذلك عمليات الاحتيال المتعلقة بالعملات المشفرة وتوزيع البرامج الضارة
تصبح هذه الحسابات أكثر جاذبية عندما يكون لديهم إمكانية الوصول إلى الأنظمة الأساسية الإعلانية الخاصة بالمواقع الاجتماعية ، مما يسمح لممثلي التهديد باستخدام بيانات الاعتماد المسروقة لتشغيل إعلانات ضارة.
كان الباحثون في Zscaler يتتبعون سرقة المعلومات الجديدة وانتشارها ونشروا تحليلاً تقنيًا مفصلاً اليوم بناءً على عينات حديثة.
مثل العديد من البرامج الضارة ، ينتشر FFDroider من خلال تشققات البرامج والبرامج المجانية والألعاب والملفات الأخرى التي يتم تنزيلها من مواقع التورنت.
بمجرد إطلاق البرنامج الضار ، سينشئ مفتاح تسجيل Windows يسمى “FFDroider” ، والذي أدى إلى تسمية هذا البرنامج الضار الجديد.
.webp?resize=320%2C109&ssl=1 "احذر من سرقة حساباتك على Facebook و Instagram و Twitter")
يستهدف FFDroid ملفات تعريف الارتباط وبيانات اعتماد الحساب المخزنة في Google Chrome (والمتصفحات القائمة على Chrome) و Mozilla Firefox و Internet Explorer و Microsoft Edge.
على سبيل المثال ، يقرأ البرنامج الضار ويوزع ملف تعريف الارتباط Chromium SQLite ويخزن بيانات اعتماد SQLite ويفك تشفير الإدخالات عن طريق إساءة استخدام Windows Crypt API ، وتحديداً وظيفة CryptUnProtectData .
الإجراء مشابه للمتصفحات الأخرى ، حيث يتم إساءة استخدام وظائف مثل InternetGetCookieRxW و IEGet ProtectedMode Cookie لانتزاع جميع ملفات تعريف الارتباط المخزنة في Explorer و Edge.
ينتج عن السرقة وفك التشفير أسماء مستخدم وكلمات مرور ذات نص واضح ، والتي يتم إخراجها بعد ذلك عبر طلب HTTP POST إلى خادم C2 ؛ في هذه الحملة ، http [:] // 152 [.] 32 [.] 228 [.] 19 / يبدو وكأنه غير مألوف.
على عكس العديد من أحصنة طروادة الأخرى التي تسرق كلمات المرور ، لا يهتم مشغلو FFDroid بجميع بيانات اعتماد الحساب المخزنة في متصفحات الويب.
بدلاً من ذلك ، يركز مطورو البرامج الضارة على سرقة بيانات اعتماد حسابات الوسائط الاجتماعية ومواقع التجارة الإلكترونية ، بما في ذلك Facebook و Instagram و Amazon و eBay و Etsy و Twitter والبوابة الإلكترونية لمحفظة WAX Cloud.
الهدف هو سرقة ملفات تعريف الارتباط الصالحة التي يمكن استخدامها للمصادقة على هذه الأنظمة الأساسية ، ويتم اختبار ذلك سريعًا بواسطة البرامج الضارة أثناء الإجراء.
إذا نجحت المصادقة على Facebook على سبيل المثال ، فإن FFDroider يجلب جميع صفحات Facebook والإشارات المرجعية وعدد أصدقاء الضحية ومعلومات الدفع والفواتير الخاصة بحسابهم من مدير إعلانات Facebook.
قد يستخدم القائمون بالتهديد هذه المعلومات لتشغيل حملات إعلانية احتيالية على منصة التواصل الاجتماعي والترويج لبرامجهم الضارة لجمهور أكبر.
إذا تم تسجيل الدخول بنجاح على Instagram ، فسيقوم FFDroider بفتح صفحة تحرير الحساب على الويب للحصول على عنوان البريد الإلكتروني للحساب ورقم الهاتف المحمول واسم المستخدم وكلمة المرور وتفاصيل أخرى.
هذا جانب مثير للاهتمام لوظيفة سارق المعلومات لأنه لا يحاول فقط الحصول على بيانات الاعتماد ولكن لتسجيل الدخول على النظام الأساسي وسرقة المزيد من المعلومات.
بعد سرقة المعلومات وإرسال كل شيء إلى C2 ، يركز FFDroid على تنزيل وحدات إضافية من خوادمه في فترات زمنية محددة.
لم يقدم محللو Zscaler الكثير من التفاصيل حول هذه الوحدات ، لكن امتلاك وظيفة التنزيل يجعل التهديد أكثر قوة.
لتجنب هذا النوع من البرامج الضارة ، يجب على الأشخاص الابتعاد عن التنزيلات غير القانونية ومصادر البرامج غير المعروفة. كإجراء احترازي إضافي ، يمكن تحميل التنزيلات إلى VirusTotal للتحقق مما إذا كانت حلول مكافحة الفيروسات تكتشفها على أنها برامج ضارة.
