FB Stealer

FB Stealer ファミリは、より脅威的な不要なブラウザ拡張機能の 1 つです。より一般的なアドウェアやブラウザ ハイジャッカーといくつかの特徴を共有していますが、FB Stealer の追加機能により、正当な脅威に変わります。 FB Stealer の感染チェーンと機能に関する詳細は、セキュリティ研究者によって SecureList レポートで公開されました。

彼らの調査結果によると、FB Stealer アプリケーションのオペレーターは、侵入型アプリケーションがユーザーのデバイスに配信されるという事実を隠すように設計された一般的な PUP (潜在的に望ましくないプログラム) 配布戦術を利用していません。代わりに、このファミリーのアプリケーションは、NullMixer として追跡されるトロイの木馬を介して、感染したシステムに投下されます。このトロイの木馬は、SolarWinds Broadband Engineers Edition などの一般的なソフトウェア製品のクラックされたインストーラーに挿入される可能性があります。

NullMixer がアクティブ化されると、FB Stealer 拡張機能のファイルが%AppData%\Local\Google\Chrome\User Data\Default\Extensionsの場所にコピーされます。このトロイの木馬は、Chrome の Secure Preferences ファイルも変更します。このファイルには、Chrome の重要な設定と拡張機能の情報が含まれています。その結果、脅迫的な FB Stealer アプリケーションが典型的な Google 翻訳拡張機能として表示されます。

実行後、FB Stealer はデフォルトの検索エンジンを変更し、新しいアドレスは ctcodeinfo.com になります。検索が見慣れないアドレスにリダイレクトされることによるリスクに加えて、被害者は Facebook のログイン資格情報が侵害される可能性もあります。 FB Stealer は、Facebook セッション Cookie を抽出し、オペレーターの制御下にあるサーバーに送信することができます。その後、攻撃者は Cookie を悪用してログインに成功し、被害者のアカウントを乗っ取ることができます。その後、攻撃者は、偽情報の拡散、被害者の連絡先をだまして送金、破損したリンクの配布など、さまざまな詐欺行為を実行する可能性があります。