FB Stealer

FB Stealer -perhe on yksi uhkaavimmista ei-toivotuista selainlaajennuksista. Vaikka sillä on useita yhteisiä ominaisuuksia tyypillisempien mainosohjelmien ja selainkaappaajien kanssa, FB Stealerin lisäominaisuudet tekevät siitä laillisen uhan. Tietoturvatutkijat julkaisivat tiedot FB Stealerin tartuntaketjusta ja toiminnoista SecureList-raportissa.

Havaintonsa mukaan FB Stealer -sovellusten operaattorit eivät hyödynnä yleistä PUP (Potentially Unwanted Program) -jakelutaktiikkaa, joka on suunniteltu peittämään sitä, että käyttäjän laitteelle toimitetaan tunkeileva sovellus. Sen sijaan tämän perheen sovellukset pudotetaan tartunnan saaneisiin järjestelmiin NullMixer-nimellä jäljitettävän troijalaisen kautta. Troijalainen voidaan ruiskuttaa suosittujen ohjelmistotuotteiden, kuten SolarWinds Broadband Engineers Editionin, krakattuihin asennusohjelmiin.

Kun NullMixer on aktivoitu, se kopioi FB Stealer -laajennuksen tiedostot %AppData%\Local\Google\Chrome\User Data\Default\Extensions -sijaintiin. Troijalainen myös muokkaa Chromen Secure Preferences -tiedostoa, jonka tehtävänä on sisältää tärkeitä Chromen asetuksia ja laajennuksia koskevia tietoja. Tämän seurauksena uhkaava FB Stealer -sovellus näkyy tyypillisenä Google Kääntäjä -laajennuksena.

Kun se on suoritettu, FB Stealer muuttaa oletushakukonetta ja uusi osoite on ctcodeinfo.com. Hakujen uudelleenohjauksesta tuntemattomaan osoitteeseen liittyvien riskien lisäksi uhrien Facebook-kirjautumistietonsa voivat vaarantua. FB Stealer pystyy poimimaan Facebook-istuntoevästeitä ja lähettämään ne operaattoriensa hallinnassa olevalle palvelimelle. Uhkailijat voivat sitten väärinkäyttää evästeitä kirjautuakseen sisään ja ottaakseen uhrin tilin haltuunsa. Hyökkääjät saattoivat sitten suorittaa erilaisia vilpillisiä toimintoja, kuten levittää disinformaatiota, huijata uhrin yhteyshenkilöitä lähettämään rahaa, jakaa vioittuneita linkkejä ja paljon muuta.

Trendaavat

Eniten katsottu

Ladataan...