FB Stealer

La famille FB Stealer fait partie des souches d'extensions de navigateur indésirables les plus menaçantes. Bien qu'il partage plusieurs caractéristiques avec des logiciels publicitaires et des pirates de navigateur plus typiques, les capacités supplémentaires de FB Stealer en font une menace légitime. Des détails sur la chaîne d'infection et les fonctions de FB Stealer ont été publiés par des chercheurs en sécurité dans un rapport SecureList.

Selon leurs conclusions, les opérateurs des applications FB Stealer n'utilisent pas les tactiques de distribution communes PUP (Potentially Unwanted Program) conçues pour masquer le fait qu'une application intrusive sera livrée sur l'appareil de l'utilisateur. Au lieu de cela, les applications de cette famille sont déposées sur les systèmes infectés via un cheval de Troie identifié comme NullMixer. Le cheval de Troie pourrait être injecté dans des installateurs piratés pour des produits logiciels populaires, tels que SolarWinds Broadband Engineers Edition.

Une fois NullMixer activé, il copiera les fichiers de l'extension FB Stealer dans l'emplacement %AppData%\Local\Google\Chrome\User Data\Default\Extensions . Le cheval de Troie modifiera également le fichier de préférences sécurisées de Chrome, qui est chargé de contenir des informations importantes sur les paramètres et les extensions de Chrome. En conséquence, l'application menaçante FB Stealer apparaîtra comme une extension typique de Google Translate.

Après son exécution, le FB Stealer change le moteur de recherche par défaut, la nouvelle adresse étant ctcodeinfo.com. En plus des risques causés par la redirection de leurs recherches vers une adresse inconnue, les victimes peuvent également voir leurs identifiants de connexion Facebook compromis. Le FB Stealer est capable d'extraire les cookies de session Facebook et de les transmettre à un serveur sous le contrôle de ses opérateurs. Les acteurs de la menace peuvent alors abuser des cookies pour se connecter avec succès et prendre le contrôle du compte de la victime. Les attaquants pourraient alors effectuer diverses activités frauduleuses, telles que diffuser de la désinformation, inciter les contacts de la victime à envoyer de l'argent, distribuer des liens corrompus, etc.