FB Stealer

Rodina FB Stealer patrí medzi hrozivejšie nežiaduce kmene rozšírenia prehliadača. Hoci zdieľa niekoľko charakteristík s typickejšími adware a prehliadačmi únoscov, dodatočné schopnosti FB Stealer z neho robia legitímnu hrozbu. Podrobnosti o infekčnom reťazci a funkciách FB Stealer zverejnili bezpečnostní výskumníci v správe SecureList.

Prevádzkovatelia aplikácií FB Stealer podľa ich zistení nevyužívajú bežnú taktiku distribúcie PUP (Potentially Unwanted Program), ktorá má maskovať, že do zariadenia používateľa bude doručená rušivá aplikácia. Namiesto toho sú aplikácie tejto rodiny spustené na infikovaných systémoch prostredníctvom trójskeho koňa sledovaného ako NullMixer. Trójsky kôň by mohol byť vstreknutý do popraskaných inštalátorov populárnych softvérových produktov, ako je SolarWinds Broadband Engineers Edition.

Po aktivácii NullMixer skopíruje súbory rozšírenia FB Stealer do umiestnenia %AppData%\Local\Google\Chrome\User Data\Default\Extensions . Trójsky kôň tiež upraví súbor Secure Preferences prehliadača Chrome, ktorý má za úlohu obsahovať dôležité informácie o nastaveniach a rozšíreniach prehliadača Chrome. V dôsledku toho sa hrozivá aplikácia FB Stealer objaví ako typické rozšírenie Google Translate.

Po jeho spustení FB Stealer zmení predvolený vyhľadávací nástroj s novou adresou ctcodeinfo.com. Okrem rizík spôsobených presmerovaním ich vyhľadávania na neznámu adresu môžu obete prelomiť aj ich prihlasovacie údaje na Facebook. FB Stealer je schopný extrahovať súbory cookie relácie Facebooku a preniesť ich na server pod kontrolou jeho prevádzkovateľov. Aktéri hrozby potom môžu súbory cookie zneužiť na úspešné prihlásenie a prevzatie účtu obete. Útočníci by potom mohli vykonávať rôzne podvodné aktivity, ako napríklad šírenie dezinformácií, oklamanie kontaktov obete na zaslanie peňazí, šírenie poškodených odkazov a ďalšie.