FB Stealer

FB Stealer saime ir viens no draudīgākajiem nevēlamajiem pārlūkprogrammas paplašinājumu celmiem. Lai gan tam ir vairākas kopīgas īpašības ar tipiskākiem reklāmprogrammatūras un pārlūkprogrammu nolaupītājiem, FB Stealer papildu iespējas to pārvērš par likumīgu draudu. Sīkāku informāciju par infekcijas ķēdi un FB Stealer funkcijām drošības pētnieki publicēja SecureList ziņojumā.

Saskaņā ar saviem atklājumiem FB Stealer lietojumprogrammu operatori neizmanto parasto PUP (potenciāli nevēlamās programmas) izplatīšanas taktiku, kas paredzēta, lai maskētu faktu, ka lietotāja ierīcē tiks piegādāta uzmācīga lietojumprogramma. Tā vietā šīs ģimenes lietojumprogrammas tiek izmestas inficētajās sistēmās, izmantojot Trojas zirgu, kas izsekots kā NullMixer. Trojas zirgu var ievadīt populāru programmatūras produktu, piemēram, SolarWinds Broadband Engineers Edition, instalēšanas programmās.

Kad NullMixer ir aktivizēts, tas kopēs FB Stealer paplašinājuma failus mapē %AppData%\Local\Google\Chrome\User Data\Default\Extensions . Trojas zirgs arī pārveidos Chrome drošo preferenču failu, kura uzdevums ir ietvert svarīgus Chrome iestatījumus un informāciju par paplašinājumiem. Rezultātā draudīgā FB Stealer lietojumprogramma parādīsies kā tipisks Google tulkotāja paplašinājums.

Pēc tās izpildes FB Stealer maina noklusējuma meklētājprogrammu, un jaunā adrese ir ctcodeinfo.com. Papildus riskiem, ko rada meklēšanas pāradresēšana uz nepazīstamu adresi, upuriem var tikt apdraudēti arī viņu Facebook pieteikšanās akreditācijas dati. FB Stealer spēj iegūt Facebook sesijas sīkfailus un pārsūtīt tos uz serveri, ko kontrolē tā operatori. Pēc tam draudu dalībnieki var ļaunprātīgi izmantot sīkfailus, lai veiksmīgi pieteiktos un pārņemtu upura kontu. Pēc tam uzbrucēji varētu veikt dažādas krāpnieciskas darbības, piemēram, izplatīt dezinformāciju, mānīt upura kontaktpersonas, lai nosūtītu naudu, izplatīt bojātas saites un daudz ko citu.