FB Stealer
خانواده FB Stealer یکی از تهدیدکنندهترین گونههای برنامه افزودنی مرورگر ناخواسته است. اگرچه چندین ویژگی مشترک با ابزارهای تبلیغاتی مزاحم و ربایندگان مرورگر معمولی دارد، اما قابلیتهای اضافی FB Stealer آن را به یک تهدید قانونی تبدیل میکند. جزئیات مربوط به زنجیره عفونت و عملکرد FB Stealer توسط محققان امنیتی در گزارش SecureList منتشر شد.
بر اساس یافتههای آنها، اپراتورهای برنامههای FB Stealer از تاکتیکهای رایج توزیع PUP (برنامه بالقوه ناخواسته) استفاده نمیکنند که برای پنهان کردن این واقعیت که یک برنامه مزاحم به دستگاه کاربر تحویل داده میشود، طراحی شده است. در عوض، برنامههای این خانواده از طریق یک تروجان که با نام NullMixer ردیابی میشود، روی سیستمهای آلوده حذف میشوند. تروجان می تواند به نصب کننده های کرک شده برای محصولات نرم افزاری محبوب مانند SolarWinds Broadband Engineers Edition تزریق شود.
پس از فعال شدن NullMixer، فایلهای پسوند FB Stealer را در مکان %AppData%\Local\Google\Chrome\User Data\Default\Extensions کپی میکند. تروجان همچنین فایل تنظیمات برگزیده ایمن کروم را تغییر خواهد داد که وظیفه آن شامل تنظیمات مهم کروم و اطلاعات افزونه ها است. در نتیجه، برنامه تهدید آمیز FB Stealer به عنوان یک برنامه افزودنی معمولی Google Translate ظاهر می شود.
پس از اجرا، FB Stealer موتور جستجوی پیش فرض را تغییر می دهد و آدرس جدید ctcodeinfo.com است. علاوه بر خطرات ناشی از هدایت جستجوهایشان به آدرسی ناآشنا، ممکن است اعتبار ورود به فیس بوک قربانیان نیز به خطر بیفتد. FB Stealer میتواند کوکیهای جلسه فیسبوک را استخراج کرده و آنها را به سروری که تحت کنترل اپراتورهای خود است، منتقل کند. سپس عوامل تهدید می توانند با سوء استفاده از کوکی ها وارد سیستم شوند و حساب قربانی را تصاحب کنند. مهاجمان سپس میتوانند فعالیتهای کلاهبرداری مختلفی مانند انتشار اطلاعات نادرست، فریب دادن مخاطبین قربانی برای ارسال پول، توزیع لینکهای خراب و غیره انجام دهند.