FB Stealer

До Mezo през Potentially Unwanted Programs, Browser Hijackers, Stealersг

Превод на:

Семейството FB Stealer е сред най-заплашващите нежелани разширения на браузъра. Въпреки че споделя няколко характеристики с по-типичните похитители на рекламен софтуер и браузър, допълнителните възможности на FB Stealer го превръщат в легитимна заплаха. Подробности за веригата на заразяване и функциите на FB Stealer бяха публикувани от изследователи по сигурността в доклад на SecureList.

Според техните открития операторите на приложенията FB Stealer не използват обичайните тактики за разпространение на PUP (потенциално нежелана програма), предназначени да маскират факта, че натрапчиво приложение ще бъде доставено на устройството на потребителя. Вместо това приложенията от тази фамилия се пускат на заразените системи чрез троянски кон, проследяван като NullMixer. Троянският кон може да бъде инжектиран в кракнати инсталационни програми за популярни софтуерни продукти, като SolarWinds Broadband Engineers Edition.

След като NullMixer бъде активиран, той ще копира файловете на разширението FB Stealer в местоположението %AppData%\Local\Google\Chrome\User Data\Default\Extensions . Троянският кон също така ще модифицира файла със защитени предпочитания на Chrome, чиято задача е да съдържа важна информация за настройките и разширенията на Chrome. В резултат на това заплашителното приложение FB Stealer ще изглежда като типично разширение на Google Translate.

След като бъде изпълнен, FB Stealer променя търсачката по подразбиране, като новият адрес е ctcodeinfo.com. В допълнение към рисковете, причинени от пренасочването на търсенията им към непознат адрес, идентификационните им данни за вход във Facebook на жертвите също могат да бъдат компрометирани. FB Stealer е способен да извлича сесийни бисквитки на Facebook и да ги предава на сървър под контрола на неговите оператори. След това участниците в заплахата могат да злоупотребят с бисквитките, за да влязат успешно и да поемат акаунта на жертвата. След това нападателите биха могли да извършват различни измамни дейности, като разпространение на дезинформация, подвеждане на контактите на жертвата да изпращат пари, разпространение на повредени връзки и други.