FB Stealer

Az FB Stealer család az egyik legveszélyesebb, nem kívánt böngészőbővítmény-törzs. Bár számos jellemzője megegyezik a tipikusabb reklám- és böngészőeltérítőkkel, az FB Stealer további képességei jogos fenyegetéssé teszik. Az FB Stealer fertőzési láncáról és funkcióiról a biztonsági kutatók adtak ki részleteket egy SecureList jelentésben.

Megállapításaik szerint az FB Stealer alkalmazások üzemeltetői nem alkalmazzák az elterjedt PUP (potenciálisan nem kívánt program) terjesztési taktikát, amelynek célja, hogy elfedje azt a tényt, hogy egy tolakodó alkalmazás kerül a felhasználó eszközére. Ehelyett a családhoz tartozó alkalmazások egy NullMixer néven nyomon követett trójai segítségével kerülnek a fertőzött rendszerekre. A trójai a népszerű szoftvertermékek, például a SolarWinds Broadband Engineers Edition feltört telepítőibe is befecskendezhető.

A NullMixer aktiválása után átmásolja az FB Stealer kiterjesztés fájljait a %AppData%\Local\Google\Chrome\User Data\Default\Extensions helyre. A trójai módosítani fogja a Chrome Secure Preferences fájlját is, amelynek feladata, hogy a Chrome fontos beállításait és bővítményeit tartalmazza. Ennek eredményeként a fenyegető FB Stealer alkalmazás tipikus Google Fordító-kiterjesztésként jelenik meg.

A végrehajtás után az FB Stealer megváltoztatja az alapértelmezett keresőmotort, és az új cím a ctcodeinfo.com lesz. Azon a kockázatokon túl, hogy kereséseiket egy ismeretlen címre irányítják át, az áldozatok Facebook bejelentkezési adatait is veszélyeztethetik. Az FB Stealer képes Facebook munkamenet-sütiket kinyerni és üzemeltetői felügyelete alatt lévő szerverre továbbítani. A fenyegetés szereplői ezután visszaélhetnek a cookie-kkal, hogy sikeresen bejelentkezzenek és átvegyék az áldozat fiókját. A támadók ezután különféle csalárd tevékenységeket hajthatnak végre, például dezinformációt terjeszthetnek, az áldozat kapcsolatait pénzküldés céljából csalhatták meg, sérült linkeket terjeszthetnek és így tovább.