FB Stealer

De FB Stealer-familie is een van de meer bedreigende soorten ongewenste browserextensies. Hoewel het verschillende kenmerken deelt met meer typische adware en browserkapers, veranderen de extra mogelijkheden van de FB Stealer het in een legitieme bedreiging. Details over de infectieketen en functies van FB Stealer zijn vrijgegeven door beveiligingsonderzoekers in een SecureList-rapport.

Volgens hun bevindingen gebruiken de operators van de FB Stealer-applicaties niet de gebruikelijke PUP-distributietactieken (Potentially Unwanted Program) die zijn ontworpen om het feit te maskeren dat een opdringerige applicatie op het apparaat van de gebruiker wordt afgeleverd. In plaats daarvan worden applicaties van deze familie op de geïnfecteerde systemen gedropt via een Trojan die wordt bijgehouden als NullMixer. Het Trojaanse paard kan worden geïnjecteerd in gekraakte installatieprogramma's voor populaire softwareproducten, zoals SolarWinds Broadband Engineers Edition.

Zodra NullMixer is geactiveerd, worden de bestanden van de FB Stealer-extensie gekopieerd naar de locatie %AppData%\Local\Google\Chrome\User Data\Default\Extensions . De Trojan zal ook het bestand Secure Preferences van Chrome wijzigen, dat de taak heeft om belangrijke informatie over Chrome-instellingen en -extensies te bevatten. Als gevolg hiervan zal de dreigende FB Stealer-applicatie verschijnen als een typische Google Translate-extensie.

Nadat het is uitgevoerd, verandert de FB Stealer de standaardzoekmachine, waarbij het nieuwe adres ctcodeinfo.com is. Naast de risico's die worden veroorzaakt doordat hun zoekopdrachten worden omgeleid naar een onbekend adres, kunnen slachtoffers ook hun inloggegevens voor Facebook in gevaar brengen. De FB Stealer is in staat om Facebook-sessiecookies te extraheren en deze door te sturen naar een server onder controle van zijn beheerders. De dreigingsactoren kunnen vervolgens de cookies misbruiken om succesvol in te loggen en het account van het slachtoffer over te nemen. De aanvallers kunnen dan verschillende frauduleuze activiteiten uitvoeren, zoals het verspreiden van desinformatie, het misleiden van de contacten van het slachtoffer om geld te sturen, het verspreiden van corrupte links en meer.