FB Stealer

Сімейство FB Stealer належить до найнебезпечніших небажаних розширень браузера. Незважаючи на те, що він має декілька спільних характеристик із більш типовими рекламними програмами та викрадачами браузерів, додаткові можливості FB Stealer перетворюють його на законну загрозу. Подробиці про ланцюг зараження та функції FB Stealer оприлюднили дослідники безпеки у звіті SecureList.

Згідно з їхніми висновками, оператори додатків FB Stealer не використовують загальну тактику розповсюдження PUP (Potentially Unwanted Program), призначену для маскування того факту, що нав’язлива програма буде доставлена на пристрій користувача. Замість цього програми цього сімейства скидаються на заражені системи через троян, який відстежується як NullMixer. Троянець може бути введений у зламані інсталятори для популярних програмних продуктів, таких як SolarWinds Broadband Engineers Edition.

Після активації NullMixer файли розширення FB Stealer буде скопійовано в папку %AppData%\Local\Google\Chrome\User Data\Default\Extensions . Троян також змінить файл безпечних налаштувань Chrome, який містить важливі налаштування Chrome і інформацію про розширення. У результаті загрозливий додаток FB Stealer виглядатиме як типове розширення Google Translate.

Після виконання FB Stealer змінює пошукову систему за замовчуванням на нову адресу ctcodeinfo.com. На додаток до ризиків, спричинених перенаправленням пошукових запитів на незнайому адресу, жертви також можуть отримати скомпрометовані облікові дані для входу в Facebook. FB Stealer здатний видобувати файли cookie сеансу Facebook і передавати їх на сервер під контролем його операторів. Потім зловмисники можуть зловживати файлами cookie, щоб успішно ввійти в систему та заволодіти обліковим записом жертви. Потім зловмисники можуть здійснювати різні шахрайські дії, такі як поширення дезінформації, обманом контактів жертви для надсилання грошей, розповсюдження пошкоджених посилань тощо.