HackTool.MSIL.GrabFF.A

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

侵入方法

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

プログラムは、以下のフォルダを追加します。

• {2nd argument} → contains folders of successful infiltration on the list of targets
• {2nd argument}\__{Computer Name or IP Address}_{Drive Letter}$_users_{user name} → contains stolen information

情報漏えい

プログラムは、以下の情報を収集します。

• Information from Mozilla Firefox:
  • Encryption key used for encrypting and decrypting the passwords → key3.db and key4.db
  • Encrypted usernames and passwords → logins.json
  • Certificate authorities → cert9.db

その他

プログラムは、以下を実行します。

• Checks all the available users from the list of targeted machines in {1st argument} if "{user name}\AppData\Roaming\Mozilla\Firefox\Profiles" is present.
  • If the said directory is accessible, searches the following files and copies them into the {2nd argument}\__{Computer Name or IP Address}_{Drive Letter}$_users_{user name}:
    • key4.db
    • key3.db
    • logins.json
    • cert9.db

マルウェアは、以下のパラメータを受け取ります。

• {1st Argument} → {File containing a list of Computer Name and/or IP Addresses seperated by a new line}
• {2nd Argument} → {Path to store stolen information}
• {3rd Argument} → {Number of threads to create/run simultaneously}