FB Stealer

FB Stealer-familien er blandt de mere truende uønskede browserudvidelsesstammer. Selvom det deler flere egenskaber med mere typiske adware og browser hijackers, gør FB Stealers yderligere funktioner det til en legitim trussel. Detaljer om infektionskæden og funktionerne i FB Stealer blev frigivet af sikkerhedsforskere i en SecureList-rapport.

Ifølge deres resultater, bruger operatørerne af FB Stealer-applikationerne ikke den almindelige PUP (Potentially Unwanted Program) distributionstaktik designet til at maskere det faktum, at en påtrængende applikation vil blive leveret til brugerens enhed. I stedet bliver applikationer fra denne familie droppet på de inficerede systemer via en trojaner, der spores som NullMixer. Trojaneren kunne injiceres i crackede installationsprogrammer til populære softwareprodukter, såsom SolarWinds Broadband Engineers Edition.

Når NullMixer er aktiveret, kopierer den filerne i FB Stealer-udvidelsen til %AppData%\Local\Google\Chrome\User Data\Default\Extensions- placeringen. Trojaneren vil også ændre Chromes Secure Preferences-fil, som har til opgave at indeholde vigtige Chrome-indstillinger og udvidelsesoplysninger. Som et resultat vil den truende FB Stealer-applikation vises som en typisk Google Translate-udvidelse.

Efter den er udført, ændrer FB Stealer standardsøgemaskinen, hvor den nye adresse er ctcodeinfo.com. Ud over de risici, der er forårsaget af at få deres søgninger omdirigeret til en ukendt adresse, kan ofre også få deres Facebook-loginoplysninger kompromitteret. FB Stealer er i stand til at udtrække Facebook-sessionscookies og sende dem til en server under kontrol af sine operatører. Trusselsaktørerne kan derefter misbruge cookies til at logge ind og overtage ofrets konto. Angriberne kunne derefter udføre forskellige svigagtige aktiviteter, såsom at sprede desinformation, narre ofrets kontakter til at sende penge, distribuere korrupte links og meget mere.

Trending

Mest sete

Indlæser...