FB Stealer

Obitelj FB Stealer jedna je od najopasnijih vrsta neželjenih proširenja preglednika. Iako dijeli nekoliko karakteristika s uobičajenijim otmičarima reklamnog softvera i preglednika, dodatne mogućnosti FB Stealera pretvaraju ga u legitimnu prijetnju. Pojedinosti o lancu infekcije i funkcijama FB Stealera objavili su sigurnosni istraživači u izvješću SecureList.

Prema njihovim nalazima, operateri aplikacija FB Stealer ne koriste uobičajenu taktiku distribucije PUP-a (potencijalno neželjenog programa) osmišljenu kako bi prikrili činjenicu da će nametljiva aplikacija biti isporučena na uređaj korisnika. Umjesto toga, aplikacije ove obitelji ispuštaju se na zaražene sustave putem trojanca praćenog kao NullMixer. Trojanac bi se mogao ubaciti u krekirane programe za instalaciju popularnih softverskih proizvoda, kao što je SolarWinds Broadband Engineers Edition.

Nakon što se NullMixer aktivira, kopirat će datoteke ekstenzije FB Stealer na lokaciju %AppData%\Local\Google\Chrome\User Data\Default\Extensions . Trojanac će također modificirati Chromeovu datoteku Secure Preferences, koja ima zadatak sadržavati važne informacije o Chrome postavkama i ekstenzijama. Kao rezultat toga, prijeteća aplikacija FB Stealer pojavit će se kao tipično proširenje Google Translate.

Nakon što se izvrši, FB Stealer mijenja zadanu tražilicu, a nova adresa je ctcodeinfo.com. Uz rizike uzrokovane preusmjeravanjem pretraživanja na nepoznatu adresu, žrtve također mogu imati kompromitirane vjerodajnice za prijavu na Facebook. FB Stealer je sposoban izdvojiti kolačiće Facebook sesije i prenijeti ih na poslužitelj pod kontrolom svojih operatera. Akteri prijetnje tada mogu zloupotrijebiti kolačiće kako bi se uspješno prijavili i preuzeli račun žrtve. Napadači bi zatim mogli izvoditi razne prijevarne aktivnosti, poput širenja dezinformacija, prijevare žrtvinih kontakata da pošalju novac, distribucije oštećenih poveznica i više.