FB Stealer

ตระกูล FB Stealer เป็นหนึ่งในส่วนขยายเบราว์เซอร์ที่ไม่พึงประสงค์ที่คุกคามมากกว่า แม้ว่าจะมีคุณลักษณะหลายอย่างร่วมกันกับแอดแวร์และไฮแจ็คเกอร์ของเบราว์เซอร์ทั่วไป แต่ความสามารถเพิ่มเติมของ FB Stealer กลับกลายเป็นภัยคุกคามที่ถูกต้องตามกฎหมาย รายละเอียดเกี่ยวกับห่วงโซ่การแพร่ระบาดและฟังก์ชันของ FB Stealer เผยแพร่โดยนักวิจัยด้านความปลอดภัยในรายงาน SecureList

จากการค้นพบของพวกเขา ผู้ดำเนินการแอปพลิเคชัน FB Stealer ไม่ได้ใช้กลยุทธ์การกระจาย PUP (โปรแกรมที่อาจไม่ต้องการ) ทั่วไปที่ออกแบบมาเพื่อปกปิดความจริงที่ว่าแอปพลิเคชันที่รบกวนจะถูกส่งไปยังอุปกรณ์ของผู้ใช้ แอปพลิเคชันของตระกูลนี้จะถูกทิ้งลงบนระบบที่ติดเชื้อผ่านโทรจันที่ติดตามเป็น NullMixer โทรจันอาจถูกฉีดเข้าไปในโปรแกรมติดตั้งที่แคร็กสำหรับผลิตภัณฑ์ซอฟต์แวร์ยอดนิยม เช่น SolarWinds Broadband Engineers Edition

เมื่อเปิดใช้งาน NullMixer มันจะคัดลอกไฟล์ของส่วนขยาย FB Stealer ไปยังตำแหน่ง %AppData%\Local\Google\Chrome\User Data\Default\Extensions โทรจันยังจะแก้ไขไฟล์ Secure Preferences ของ Chrome ซึ่งมีหน้าที่จัดเก็บการตั้งค่าและส่วนขยายที่สำคัญของ Chrome ด้วยเหตุนี้ แอปพลิเคชัน FB Stealer ที่คุกคามจะปรากฏเป็นส่วนขยายของ Google แปลภาษาทั่วไป

หลังจากดำเนินการแล้ว FB Stealer จะเปลี่ยนเครื่องมือค้นหาเริ่มต้น โดยที่อยู่ใหม่คือ ctcodeinfo.com นอกจากความเสี่ยงที่เกิดจากการที่การค้นหาของพวกเขาถูกเปลี่ยนเส้นทางไปยังที่อยู่ที่ไม่คุ้นเคย ผู้ที่ตกเป็นเหยื่ออาจได้รับข้อมูลรับรองการเข้าสู่ระบบ Facebook ของพวกเขา FB Stealer สามารถแยกคุกกี้เซสชัน Facebook และส่งไปยังเซิร์ฟเวอร์ภายใต้การควบคุมของผู้ดำเนินการ ผู้คุกคามสามารถใช้คุกกี้ในทางที่ผิดเพื่อเข้าสู่ระบบและเข้าควบคุมบัญชีของเหยื่อได้สำเร็จ จากนั้นผู้โจมตีสามารถดำเนินกิจกรรมฉ้อโกงต่างๆ เช่น เผยแพร่ข้อมูลเท็จ หลอกลวงผู้ติดต่อของเหยื่อให้ส่งเงิน แจกจ่ายลิงก์ที่เสียหาย และอื่นๆ