FB Stealer
FB Stealer 系列是更具威脅性的有害瀏覽器擴展程序之一。儘管它與更典型的廣告軟件和瀏覽器劫持者有幾個共同特徵,但 FB Stealer 的附加功能使其成為合法威脅。安全研究人員在 SecureList 報告中發布了有關 FB Stealer 感染鍊和功能的詳細信息。
根據他們的調查結果,FB Stealer 應用程序的運營商沒有使用常見的 PUP(潛在有害程序)分發策略來掩蓋侵入性應用程序將被傳送到用戶設備的事實。相反,該系列的應用程序通過跟踪為 NullMixer 的特洛伊木馬投放到受感染的系統上。該木馬可以注入流行軟件產品的破解安裝程序,例如 SolarWinds Broadband Engineers Edition。
一旦 NullMixer 被激活,它會將 FB Stealer 擴展的文件複製到%AppData%\Local\Google\Chrome\User Data\Default\Extensions位置。該木馬還會修改 Chrome 的 Secure Preferences 文件,該文件的任務是包含重要的 Chrome 設置和擴展信息。因此,具有威脅性的 FB Stealer 應用程序將作為典型的 Google 翻譯擴展程序出現。
執行後,FB Stealer 會更改默認搜索引擎,新地址為 ctcodeinfo.com。除了將搜索重定向到不熟悉的地址所帶來的風險外,受害者的 Facebook 登錄憑據也可能遭到洩露。 FB Stealer 能夠提取 Facebook 會話 cookie 並將它們傳輸到其運營商控制下的服務器。然後,威脅參與者可以濫用 cookie 成功登錄並接管受害者的帳戶。然後,攻擊者可以進行各種欺詐活動,例如傳播虛假信息、欺騙受害者的聯繫人匯款、分發損壞的鏈接等等。
