FB Stealer

Rodzina FB Stealer należy do groźniejszych niechcianych szczepów rozszerzeń przeglądarki. Chociaż dzieli kilka cech z bardziej typowymi adware i porywaczami przeglądarki, dodatkowe możliwości FB Stealera zmieniają go w uzasadnione zagrożenie. Szczegóły dotyczące łańcucha infekcji i funkcji FB Stealer zostały ujawnione przez badaczy bezpieczeństwa w raporcie SecureList.

Zgodnie z ich ustaleniami, operatorzy aplikacji FB Stealer nie stosują powszechnej taktyki dystrybucji PUP (Potentially Unwanted Program) mającej na celu zamaskowanie faktu dostarczenia natrętnej aplikacji na urządzenie użytkownika. Zamiast tego aplikacje z tej rodziny są umieszczane na zainfekowanych systemach za pośrednictwem trojana śledzonego jako NullMixer. Trojan mógł zostać wstrzyknięty do złamanych instalatorów popularnych produktów oprogramowania, takich jak SolarWinds Broadband Engineers Edition.

Po aktywacji NullMixer skopiuje pliki rozszerzenia FB Stealer do lokalizacji %AppData%\Local\Google\Chrome\User Data\Default\Extensions . Trojan zmodyfikuje również plik Secure Preferences przeglądarki Chrome, którego zadaniem jest zawieranie ważnych ustawień Chrome i informacji o rozszerzeniach. W rezultacie groźna aplikacja FB Stealer pojawi się jako typowe rozszerzenie Tłumacza Google.

Po wykonaniu FB Stealer zmienia domyślną wyszukiwarkę, na nowy adres ctcodeinfo.com. Oprócz ryzyka związanego z przekierowywaniem wyszukiwań na nieznany adres, ofiary mogą również zostać naruszone ich dane logowania do Facebooka. FB Stealer jest w stanie wyodrębnić pliki cookie sesji Facebooka i przesłać je na serwer pod kontrolą jego operatorów. Przestępcy mogą następnie nadużywać plików cookie, aby pomyślnie zalogować się i przejąć konto ofiary. Osoby atakujące mogą następnie wykonywać różne nieuczciwe działania, takie jak rozpowszechnianie dezinformacji, oszukiwanie kontaktów ofiary w celu wysłania pieniędzy, rozpowszechnianie uszkodzonych linków i wiele innych.

Popularne

Najczęściej oglądane

Ładowanie...