FB Stealer

FB Stealer-familjen är bland de mer hotfulla oönskade webbläsartilläggsstammarna. Även om den delar flera egenskaper med mer typiska annonsprogram och webbläsarkapare, gör de ytterligare funktionerna hos FB Stealer det till ett legitimt hot. Detaljer om infektionskedjan och funktionerna hos FB Stealer släpptes av säkerhetsforskare i en SecureList-rapport.

Enligt deras resultat använder operatörerna av FB Stealer-applikationerna inte den vanliga PUP-distributionstaktiken (Potentially Unwanted Program) som är utformad för att maskera det faktum att en påträngande applikation kommer att levereras till användarens enhet. Istället släpps applikationer från denna familj på de infekterade systemen via en trojan som spåras som NullMixer. Trojanen kan injiceras i spruckna installationsprogram för populära mjukvaruprodukter, som SolarWinds Broadband Engineers Edition.

När NullMixer har aktiverats kommer den att kopiera filerna i FB Stealer-tillägget till platsen %AppData%\Local\Google\Chrome\User Data\Default\Extensions . Trojanen kommer också att ändra Chromes Secure Preferences-fil, som har till uppgift att innehålla viktig information om Chrome-inställningar och tillägg. Som ett resultat kommer den hotande FB Stealer-applikationen att visas som en typisk Google Translate-tillägg.

Efter att den har körts ändrar FB Stealer standardsökmotorn, med den nya adressen ctcodeinfo.com. Förutom de risker som orsakas av att deras sökningar omdirigeras till en okänd adress, kan offren också få sina Facebook-inloggningsuppgifter äventyrade. FB Stealer kan extrahera Facebook-sessionscookies och överföra dem till en server under kontroll av dess operatörer. Hotaktörerna kan sedan missbruka cookies för att lyckas logga in och ta över offrets konto. Angriparna kunde sedan utföra olika bedrägliga aktiviteter, som att sprida desinformation, lura offrets kontakter att skicka pengar, distribuera korrupta länkar med mera.