FB Stealer

تعد عائلة FB Stealer من بين سلالات امتداد المتصفح غير المرغوب فيها الأكثر تهديدًا. على الرغم من أنه يشترك في العديد من الخصائص مع برامج الإعلانات المتسللة والمتصفح الأكثر شيوعًا ، إلا أن الإمكانات الإضافية لـ FB Stealer تحوله إلى تهديد مشروع. تم نشر تفاصيل حول سلسلة العدوى ووظائف FB Stealer من قبل باحثين أمنيين في تقرير SecureList.

وفقًا للنتائج التي توصلوا إليها ، لا يستخدم مشغلو تطبيقات FB Stealer أساليب توزيع PUP الشائعة (برنامج غير مرغوب فيه) المصممة لإخفاء حقيقة أن تطبيقًا متطفلاً سيتم تسليمه إلى جهاز المستخدم. بدلاً من ذلك ، يتم إسقاط تطبيقات هذه العائلة على الأنظمة المصابة عبر حصان طروادة المتتبع باسم NullMixer. يمكن حقن حصان طروادة في أدوات التثبيت المتصدعة لمنتجات البرامج الشهيرة ، مثل SolarWinds Broadband Engineers Edition.

بمجرد تنشيط NullMixer ، سيتم نسخ ملفات امتداد FB Stealer إلى موقع ٪ AppData٪ \ Local \ Google \ Chrome \ User Data \ Default \ Extensions . سيقوم حصان طروادة أيضًا بتعديل ملف التفضيلات الآمنة في Chrome ، والذي يتم تكليفه باحتواء إعدادات Chrome المهمة ومعلومات الإضافات. نتيجة لذلك ، سيظهر تطبيق FB Stealer الذي يمثل تهديدًا كملحق نموذجي لـ Google Translate.

بعد أن يتم تنفيذه ، يقوم FB Stealer بتغيير محرك البحث الافتراضي ، بحيث يكون العنوان الجديد ctcodeinfo.com. بالإضافة إلى المخاطر الناجمة عن إعادة توجيه عمليات البحث الخاصة بهم إلى عنوان غير مألوف ، فقد يتعرض الضحايا أيضًا للاختراق في بيانات اعتماد تسجيل الدخول إلى Facebook. FB Stealer قادر على استخراج ملفات تعريف ارتباط جلسات Facebook ونقلها إلى خادم تحت سيطرة مشغليه. يمكن لممثلي التهديد بعد ذلك إساءة استخدام ملفات تعريف الارتباط لتسجيل الدخول بنجاح والاستيلاء على حساب الضحية. يمكن للمهاجمين بعد ذلك القيام بأنشطة احتيالية مختلفة ، مثل نشر معلومات مضللة ، وخداع جهات اتصال الضحية لإرسال الأموال ، وتوزيع الروابط التالفة والمزيد.