FB Stealer

La família FB Stealer es troba entre les extensions de navegador no desitjades més amenaçadores. Tot i que comparteix diverses característiques amb programari publicitari i segrestadors de navegadors més típics, les capacitats addicionals de FB Stealer el converteixen en una amenaça legítima. Els investigadors de seguretat van publicar detalls sobre la cadena d'infecció i les funcions de FB Stealer en un informe SecureList.

Segons les seves troballes, els operadors de les aplicacions FB Stealer no utilitzen les tàctiques de distribució comuns PUP (Programa potencialment no desitjat) dissenyades per emmascarar el fet que una aplicació intrusiva es lliurarà al dispositiu de l'usuari. En canvi, les aplicacions d'aquesta família s'arrepleguen als sistemes infectats mitjançant un troià rastrejat com a NullMixer. El troià es podria injectar en instal·ladors trencats per a productes de programari populars, com ara SolarWinds Broadband Engineers Edition.

Un cop activat NullMixer, copiarà els fitxers de l'extensió FB Stealer a la ubicació %AppData%\Local\Google\Chrome\User Data\Default\Extensions . El troià també modificarà el fitxer de preferències segures de Chrome, que té l'encàrrec de contenir la informació important de la configuració i les extensions de Chrome. Com a resultat, l'amenaçadora aplicació FB Stealer apareixerà com una extensió típica de Google Translate.

Després d'executar-lo, FB Stealer canvia el motor de cerca predeterminat, sent la nova adreça ctcodeinfo.com. A més dels riscos causats per redirigir les seves cerques a una adreça desconeguda, les víctimes també poden tenir les seves credencials d'inici de sessió de Facebook compromeses. El FB Stealer és capaç d'extreure cookies de sessió de Facebook i transmetre-les a un servidor sota el control dels seus operadors. Aleshores, els actors de l'amenaça poden abusar de les galetes per iniciar sessió correctament i fer-se càrrec del compte de la víctima. Aleshores, els atacants podrien realitzar diverses activitats fraudulentes, com ara difondre desinformació, enganyar els contactes de la víctima per enviar diners, distribuir enllaços corruptes i molt més.