FB Stealer
FB Stealer 系列是更具威胁性的有害浏览器扩展程序之一。尽管它与更典型的广告软件和浏览器劫持者有几个共同特征,但 FB Stealer 的附加功能使其成为合法威胁。安全研究人员在 SecureList 报告中发布了有关 FB Stealer 感染链和功能的详细信息。
根据他们的调查结果,FB Stealer 应用程序的运营商没有使用常见的 PUP(潜在有害程序)分发策略来掩盖侵入性应用程序将被传送到用户设备的事实。相反,该系列的应用程序通过跟踪为 NullMixer 的特洛伊木马投放到受感染的系统上。该木马可以注入流行软件产品的破解安装程序,例如 SolarWinds Broadband Engineers Edition。
一旦 NullMixer 被激活,它会将 FB Stealer 扩展的文件复制到%AppData%\Local\Google\Chrome\User Data\Default\Extensions位置。该木马还会修改 Chrome 的 Secure Preferences 文件,该文件的任务是包含重要的 Chrome 设置和扩展信息。因此,具有威胁性的 FB Stealer 应用程序将作为典型的 Google 翻译扩展程序出现。
执行后,FB Stealer 会更改默认搜索引擎,新地址为 ctcodeinfo.com。除了将搜索重定向到不熟悉的地址所带来的风险外,受害者的 Facebook 登录凭据也可能遭到泄露。 FB Stealer 能够提取 Facebook 会话 cookie 并将它们传输到其运营商控制下的服务器。然后,威胁行为者可以滥用 cookie 成功登录并接管受害者的帐户。然后,攻击者可以进行各种欺诈活动,例如传播虚假信息、欺骗受害者的联系人汇款、分发损坏的链接等等。
