FB Stealer

Družina FB Stealer je med bolj nevarnimi neželenimi vrstami razširitev brskalnika. Čeprav si deli več značilnosti z običajnejšimi ugrabitelji oglaševalske programske opreme in brskalnikov, ga dodatne zmogljivosti FB Stealerja spremenijo v legitimno grožnjo. Podrobnosti o verigi okužb in funkcijah FB Stealerja so varnostni raziskovalci objavili v poročilu SecureList.

Po njihovih ugotovitvah upravljavci aplikacij FB Stealer ne uporabljajo običajnih taktik distribucije PUP (Potencialno nezaželenega programa), ki so namenjene prikrivanju dejstva, da bo vsiljiva aplikacija dostavljena na uporabnikovo napravo. Namesto tega so aplikacije te družine odpuščene v okužene sisteme prek trojanca, ki mu sledijo kot NullMixer. Trojanca bi lahko vstavili v zlomljene namestitvene programe za priljubljene programske izdelke, kot je SolarWinds Broadband Engineers Edition.

Ko je NullMixer aktiviran, bo kopiral datoteke razširitve FB Stealer na lokacijo %AppData%\Local\Google\Chrome\User Data\Default\Extensions . Trojanec bo prav tako spremenil Chromovo datoteko Secure Preferences, katere naloga je, da vsebuje pomembne nastavitve Chroma in informacije o razširitvah. Posledično bo grozeča aplikacija FB Stealer prikazana kot tipična razširitev Google Translate.

Ko se izvede, FB Stealer spremeni privzeti iskalnik, pri čemer je novi naslov ctcodeinfo.com. Poleg tveganj, ki jih povzroča preusmeritev iskanj na neznani naslov, so lahko žrtve ogrožene tudi njihove poverilnice za prijavo v Facebook. FB Stealer je sposoben ekstrahirati sejne piškotke Facebooka in jih prenesti na strežnik pod nadzorom svojih operaterjev. Akterji grožnje lahko nato zlorabijo piškotke, da se uspešno prijavijo in prevzamejo račun žrtve. Napadalci bi lahko nato izvajali različne goljufive dejavnosti, kot so širjenje dezinformacij, prevara žrtvinih stikov za pošiljanje denarja, distribucija pokvarjenih povezav in drugo.