FB Stealer

משפחת FB Stealer היא בין זני תוספי הדפדפן הלא רצויים המאיימים יותר. למרות שהוא חולק כמה מאפיינים עם תוכנות פרסום וחוטפי דפדפן טיפוסיים יותר, היכולות הנוספות של FB Stealer הופכות אותו לאיום לגיטימי. פרטים על שרשרת ההדבקה והפונקציות של FB Stealer פורסמו על ידי חוקרי אבטחה בדוח של SecureList.

לפי הממצאים שלהם, המפעילים של אפליקציות FB Stealer לא משתמשים בטקטיקות ההפצה הנפוצות של PUP (Potentially Unwanted Program) שנועדו להסוות את העובדה שאפליקציה חודרנית תועבר למכשיר של המשתמש. במקום זאת, יישומים של משפחה זו נשמטים על המערכות הנגועות באמצעות סוס טרויאני המלווה בשם NullMixer. ניתן להחדיר את הטרויאני למתקינים סדוקים עבור מוצרי תוכנה פופולריים, כגון SolarWinds Broadband Engineers Edition.

לאחר הפעלת NullMixer, הוא יעתיק את הקבצים של סיומת FB Stealer למיקום %AppData%\Local\Google\Chrome\User Data\Default\Extensions . הטרויאני גם ישנה את קובץ ההעדפות המאובטחות של Chrome, אשר מופקדת להכיל הגדרות חשובות של Chrome ומידע על הרחבות. כתוצאה מכך, אפליקציית FB Stealer המאיימת תופיע בתור הרחבה טיפוסית של Google Translate.

לאחר ביצועו, FB Stealer משנה את מנוע החיפוש המוגדר כברירת מחדל, כאשר הכתובת החדשה היא ctcodeinfo.com. בנוסף לסיכונים הנגרמים כתוצאה מהפניית החיפושים שלהם לכתובת לא מוכרת, הקורבנות עלולים גם לסכן את פרטי הכניסה שלהם לפייסבוק. ה-FB Stealer מסוגל לחלץ עוגיות הפעלה של פייסבוק ולשדר אותן לשרת בשליטת המפעילים שלו. לאחר מכן, גורמי האיום יכולים להשתמש לרעה בעוגיות כדי להיכנס בהצלחה ולהשתלט על החשבון של הקורבן. לאחר מכן יכלו התוקפים לבצע פעולות הונאה שונות, כגון הפצת דיסאינפורמציה, הטעיית אנשי הקשר של הקורבן לשלוח כסף, הפצת קישורים פגומים ועוד.

מגמות

הכי נצפה

טוען...