FB Stealer

Rodina FB Stealer patří mezi hrozivější nechtěné kmeny rozšíření prohlížeče. Ačkoli sdílí několik vlastností s typičtějšími adwarem a únosci prohlížečů, další schopnosti FB Stealer z něj dělají legitimní hrozbu. Podrobnosti o infekčním řetězci a funkcích FB Stealer zveřejnili bezpečnostní výzkumníci ve zprávě SecureList.

Provozovatelé aplikací FB Stealer podle jejich zjištění nevyužívají běžnou taktiku distribuce PUP (Potentially Unwanted Program), která má maskovat skutečnost, že na zařízení uživatele bude doručena rušivá aplikace. Místo toho jsou aplikace této rodiny na infikovaných systémech zahazovány prostřednictvím trojského koně sledovaného jako NullMixer. Trojan by mohl být injektován do cracknutých instalačních programů pro oblíbené softwarové produkty, jako je SolarWinds Broadband Engineers Edition.

Jakmile je NullMixer aktivován, zkopíruje soubory rozšíření FB Stealer do umístění %AppData%\Local\Google\Chrome\User Data\Default\Extensions . Trojan také upraví soubor Secure Preferences Chromu, který má za úkol obsahovat důležitá nastavení Chrome a informace o rozšířeních. V důsledku toho se hrozivá aplikace FB Stealer objeví jako typické rozšíření Google Translate.

Po jeho spuštění FB Stealer změní výchozí vyhledávač s novou adresou ctcodeinfo.com. Kromě rizik způsobených tím, že jejich vyhledávání bude přesměrováno na neznámou adresu, mohou oběti také prozradit své přihlašovací údaje k Facebooku. FB Stealer je schopen extrahovat cookies relace Facebooku a přenášet je na server pod kontrolou jeho provozovatelů. Aktéři hrozby pak mohou soubory cookie zneužít k úspěšnému přihlášení a převzetí účtu oběti. Útočníci by pak mohli provádět různé podvodné aktivity, jako je šíření dezinformací, oklamání kontaktů oběti za účelem zaslání peněz, šíření poškozených odkazů a další.