FB Stealer

FB Stealer 제품군은 원치 않는 브라우저 확장 프로그램보다 더 위협적입니다. 더 일반적인 애드웨어 및 브라우저 하이재커와 몇 가지 특성을 공유하지만 FB Stealer의 추가 기능으로 인해 합법적인 위협이 됩니다. FB Stealer의 감염 체인 및 기능에 대한 세부 정보는 SecureList 보고서에서 보안 연구원에 의해 공개되었습니다.

그들의 연구 결과에 따르면 FB Stealer 애플리케이션의 운영자는 침입 애플리케이션이 사용자의 장치에 전달된다는 사실을 숨기기 위해 설계된 일반적인 PUP(Potentially Unwanted Program) 배포 전술을 사용하지 않습니다. 대신 이 제품군의 응용 프로그램은 NullMixer로 추적되는 트로이 목마를 통해 감염된 시스템에 삭제됩니다. 트로이 목마는 SolarWinds Broadband Engineers Edition과 같은 인기 있는 소프트웨어 제품의 크랙 설치 프로그램에 주입될 수 있습니다.

NullMixer가 활성화되면 FB Stealer 확장 파일을 %AppData%\Local\Google\Chrome\User Data\Default\Extensions 위치에 복사합니다. 트로이 목마는 또한 중요한 Chrome 설정 및 확장 프로그램 정보를 포함하는 Chrome의 보안 기본 설정 파일을 수정합니다. 결과적으로 위협적인 FB Stealer 애플리케이션은 일반적인 Google 번역 확장 프로그램으로 나타납니다.

실행된 후 FB Stealer는 기본 검색 엔진을 변경하고 새 주소는 ctcodeinfo.com입니다. 검색이 익숙하지 않은 주소로 리디렉션되어 발생하는 위험 외에도 피해자는 Facebook 로그인 자격 증명이 손상될 수 있습니다. FB Stealer는 Facebook 세션 쿠키를 추출하여 운영자가 제어하는 서버로 전송할 수 있습니다. 그런 다음 위협 행위자는 쿠키를 남용하여 성공적으로 로그인하고 피해자의 계정을 탈취할 수 있습니다. 그런 다음 공격자는 허위 정보 유포, 피해자의 연락처를 속여 돈을 보내도록 속이거나 손상된 링크 배포 등과 같은 다양한 사기 활동을 수행할 수 있습니다.