FB Stealer

خانواده FB Stealer یکی از تهدیدکننده‌ترین گونه‌های برنامه افزودنی مرورگر ناخواسته است. اگرچه چندین ویژگی مشترک با ابزارهای تبلیغاتی مزاحم و ربایندگان مرورگر معمولی دارد، اما قابلیت‌های اضافی FB Stealer آن را به یک تهدید قانونی تبدیل می‌کند. جزئیات مربوط به زنجیره عفونت و عملکرد FB Stealer توسط محققان امنیتی در گزارش SecureList منتشر شد.

بر اساس یافته‌های آن‌ها، اپراتورهای برنامه‌های FB Stealer از تاکتیک‌های رایج توزیع PUP (برنامه بالقوه ناخواسته) استفاده نمی‌کنند که برای پنهان کردن این واقعیت که یک برنامه مزاحم به دستگاه کاربر تحویل داده می‌شود، طراحی شده است. در عوض، برنامه‌های این خانواده از طریق یک تروجان که با نام NullMixer ردیابی می‌شود، روی سیستم‌های آلوده حذف می‌شوند. تروجان می تواند به نصب کننده های کرک شده برای محصولات نرم افزاری محبوب مانند SolarWinds Broadband Engineers Edition تزریق شود.

پس از فعال شدن NullMixer، فایل‌های پسوند FB Stealer را در مکان %AppData%\Local\Google\Chrome\User Data\Default\Extensions کپی می‌کند. تروجان همچنین فایل تنظیمات برگزیده ایمن کروم را تغییر خواهد داد که وظیفه آن شامل تنظیمات مهم کروم و اطلاعات افزونه ها است. در نتیجه، برنامه تهدید آمیز FB Stealer به عنوان یک برنامه افزودنی معمولی Google Translate ظاهر می شود.

پس از اجرا، FB Stealer موتور جستجوی پیش فرض را تغییر می دهد و آدرس جدید ctcodeinfo.com است. علاوه بر خطرات ناشی از هدایت جستجوهایشان به آدرسی ناآشنا، ممکن است اعتبار ورود به فیس بوک قربانیان نیز به خطر بیفتد. FB Stealer می‌تواند کوکی‌های جلسه فیسبوک را استخراج کرده و آنها را به سروری که تحت کنترل اپراتورهای خود است، منتقل کند. سپس عوامل تهدید می توانند با سوء استفاده از کوکی ها وارد سیستم شوند و حساب قربانی را تصاحب کنند. مهاجمان سپس می‌توانند فعالیت‌های کلاهبرداری مختلفی مانند انتشار اطلاعات نادرست، فریب دادن مخاطبین قربانی برای ارسال پول، توزیع لینک‌های خراب و غیره انجام دهند.