FB Stealer

FB Stealer-familien er blant de mer truende uønskede nettleserutvidelsesstammene. Selv om den deler flere egenskaper med mer typiske adware- og nettleserkaprere, gjør tilleggsfunksjonene til FB Stealer den til en legitim trussel. Detaljer om infeksjonskjeden og funksjonene til FB Stealer ble utgitt av sikkerhetsforskere i en SecureList-rapport.

Ifølge funnene deres, bruker ikke operatørene av FB Stealer-applikasjonene den vanlige PUP (Potentially Unwanted Program) distribusjonstaktikken designet for å maskere det faktum at en påtrengende applikasjon vil bli levert til brukerens enhet. I stedet blir applikasjoner fra denne familien droppet på de infiserte systemene via en trojaner sporet som NullMixer. Trojaneren kan injiseres i sprukne installasjonsprogrammer for populære programvareprodukter, for eksempel SolarWinds Broadband Engineers Edition.

Når NullMixer er aktivert, vil den kopiere filene til FB Stealer-utvidelsen til %AppData%\Local\Google\Chrome\User Data\Default\Extensions- plasseringen. Trojaneren vil også endre Chromes Secure Preferences-fil, som har i oppgave å inneholde viktig informasjon om Chrome-innstillinger og utvidelser. Som et resultat vil den truende FB Stealer-applikasjonen vises som en typisk Google Translate-utvidelse.

Etter at den er utført, endrer FB Stealer standard søkemotor, med den nye adressen ctcodeinfo.com. I tillegg til risikoen forårsaket av å få søkene omdirigert til en ukjent adresse, kan ofre også få Facebook-påloggingsinformasjonen kompromittert. FB Stealer er i stand til å trekke ut Facebook-sesjonskapsler og overføre dem til en server under kontroll av operatørene. Trusselaktørene kan deretter misbruke informasjonskapslene for å kunne logge på og overta offerets konto. Angriperne kunne deretter utføre ulike uredelige aktiviteter, som å spre desinformasjon, lure offerets kontakter til å sende penger, distribuere ødelagte lenker og mer.

Trender

Mest sett

Laster inn...