FB Stealer

FB Stealer परिवार अधिक खतरनाक अवांछित ब्राउज़र एक्सटेंशन उपभेदों में से एक है। यद्यपि यह अधिक विशिष्ट एडवेयर और ब्राउज़र अपहर्ताओं के साथ कई विशेषताओं को साझा करता है, FB Stealer की अतिरिक्त क्षमताएं इसे एक वैध खतरे में बदल देती हैं। सुरक्षा शोधकर्ताओं द्वारा एक SecureList रिपोर्ट में संक्रमण श्रृंखला और FB Stealer के कार्यों के बारे में विवरण जारी किया गया था।

उनके निष्कर्षों के अनुसार, FB Stealer एप्लिकेशन के ऑपरेटर इस तथ्य को छिपाने के लिए डिज़ाइन किए गए सामान्य PUP (संभावित रूप से अवांछित प्रोग्राम) वितरण रणनीति का उपयोग नहीं करते हैं कि उपयोगकर्ता के डिवाइस पर एक घुसपैठ एप्लिकेशन वितरित किया जाएगा। इसके बजाय, इस परिवार के अनुप्रयोगों को संक्रमित सिस्टम पर NullMixer के रूप में ट्रैक किए गए ट्रोजन के माध्यम से छोड़ दिया जाता है। लोकप्रिय सॉफ़्टवेयर उत्पादों, जैसे कि SolarWinds ब्रॉडबैंड इंजीनियर्स संस्करण के लिए ट्रोजन को क्रैक किए गए इंस्टॉलरों में इंजेक्ट किया जा सकता है।

एक बार NullMixer सक्रिय हो जाने पर, यह FB Stealer एक्सटेंशन की फ़ाइलों को %AppData%\Local\Google\Chrome\User Data\Default\Extensions स्थान में कॉपी कर देगा। ट्रोजन क्रोम की सुरक्षित वरीयता फ़ाइल को भी संशोधित करेगा, जिसे महत्वपूर्ण क्रोम सेटिंग्स और एक्सटेंशन की जानकारी रखने का काम सौंपा गया है। परिणामस्वरूप, धमकी देने वाला FB Stealer एप्लिकेशन एक विशिष्ट Google अनुवाद एक्सटेंशन के रूप में दिखाई देगा।

इसे निष्पादित करने के बाद, FB Stealer डिफ़ॉल्ट खोज इंजन को बदल देता है, जिसमें नया पता ctcodeinfo.com होता है। अपनी खोजों को किसी अपरिचित पते पर पुनर्निर्देशित करने के कारण होने वाले जोखिमों के अलावा, पीड़ितों के पास अपने फेसबुक लॉगिन क्रेडेंशियल से समझौता भी हो सकता है। FB Stealer Facebook सत्र कुकीज़ निकालने और उन्हें अपने ऑपरेटरों के नियंत्रण में एक सर्वर पर ट्रांसमिट करने में सक्षम है। इसके बाद धमकी देने वाले अभिनेता सफलतापूर्वक लॉग इन करने और पीड़ित के खाते पर कब्जा करने के लिए कुकीज़ का दुरुपयोग कर सकते हैं। इसके बाद हमलावर विभिन्न धोखाधड़ी गतिविधियों को अंजाम दे सकते थे, जैसे कि गलत सूचना फैलाना, पीड़ित के संपर्कों को पैसे भेजने के लिए धोखा देना, भ्रष्ट लिंक वितरित करना और बहुत कुछ।