FB Stealer

Породица ФБ Стеалер спада међу најопасније нежељене екстензије претраживача. Иако дели неколико карактеристика са типичнијим отмичарима рекламног софтвера и претраживача, додатне могућности ФБ Стеалер-а претварају га у легитимну претњу. Детаље о ланцу инфекције и функцијама ФБ Стеалер-а објавили су истраживачи безбедности у извештају СецуреЛист.

Према њиховим налазима, оператери ФБ Стеалер апликација не користе уобичајену тактику дистрибуције ПУП-а (Потенцијално нежељени програм) дизајнирану да прикрију чињеницу да ће наметљива апликација бити испоручена на уређај корисника. Уместо тога, апликације ове породице се испуштају на зараженим системима преко тројанца праћеног као НуллМикер. Тројанац би могао бити убризган у крековане инсталатере за популарне софтверске производе, као што је СоларВиндс Броадбанд Енгинеерс Едитион.

Када се НуллМикер активира, копираће датотеке екстензије ФБ Стеалер на локацију %АппДата%\Лоцал\Гоогле\Цхроме\Усер Дата\Дефаулт\Ектенсионс . Тројанац ће такође модификовати Цхроме-ову датотеку Сецуре Преференцес, која има задатак да садржи важна подешавања Цхроме-а и информације о екстензијама. Као резултат тога, претећи ФБ Стеалер апликација ће се појавити као типична екстензија Гоогле Транслате.

Након што се изврши, ФБ Стеалер мења подразумевани претраживач, са новом адресом цтцодеинфо.цом. Поред ризика узрокованих преусмеравањем њихових претрага на непознату адресу, жртве такође могу имати компромитоване акредитиве за пријаву на Фејсбук. ФБ Стеалер је способан да издвоји колачиће сесије на Фејсбуку и пренесе их на сервер под контролом својих оператера. Актери претњи тада могу да злоупотребе колачиће да би се успешно пријавили и преузели налог жртве. Нападачи би тада могли да изврше различите лажне активности, као што су ширење дезинформација, преваре контакте жртве да пошаљу новац, дистрибуција оштећених линкова и друго.