r   e   k   l   a   m   a
r   e   k   l   a   m   a

Czerwona kropka: szkodnik ukryty w obrazku SVG roznosi się przez komunikator Facebooka

Strona główna AktualnościBEZPIECZEŃSTWO

Wielu internautów uodporniło się już na złośliwe załączniki przesyłane pocztą – po prostu nie klikają. Ten zdrowy nawyk nie musi się jednak przenosić na inne kanały komunikacji. Na to liczą osoby stojące za nową falą ataków, gdzie złośliwe oprogramowanie przenoszone jest przez czat Facebooka, w postaci… wektorowego obrazka.

Scenariusz ataku został pomyślany dość dobrze, i z tego co wiemy niejeden nawet bardziej kompetentny technicznie internauta dał się złapać. Podczas rozmowy na Messengerze (czy to mobilnym, czy w przeglądarce) możemy otrzymać plik graficzny o nazwie photo_XXXX.svg (czyli w otwartym formacie grafiki wektorowej).

Jeśli ofiara kliknie obrazek, zapewne z ciekawości – co tu takiego znajomy nam wysyła – zamiast obrazka uruchomi złośliwy kod JavaScriptu. Jak to możliwe? Otóż faktycznie mamy do czynienia z obrazkiem, rysowana jest czerwona kropka o promieniu 50 pikseli. Później jednak, całkowicie w zgodzie ze specyfikacją tego formatu, osadzony jest skrypt z trojanem oznaczanym przez niektóre antywirusy jako Nemucod.CX.

r   e   k   l   a   m   a

Po uruchomieniu skryptu, ofiara zostaje przekierowana na pewien adres w domenie .pw (wyspy Palau), a następnie na różne jego subdomeny o losowych nazwach. Tam zaczyna być ciekawie – trafiamy na podszywającą się pod YouTube stronę wideo, która zaprasza do pobrania „kodeka wideo”. Kodekiem wideo jest złośliwe rozszerzenie przeglądarki, domagające się wszelkich możliwych uprawnień. To ono odpowiada za dalsze rozpowszechnianie szkodnika, ale też pozwala na wykradanie poufnych danych użytkowników.

Dość ciekawe jest to, że tylko raz możemy z danego adresu IP trafić na stronę phishingową. Jeśli nie damy się złapać, a wrócimy na wyspy Palau, będziemy zaproszeni do wypełnienia bzdurnej ankiety, mającej nas przekonać, że za chwilę trafimy do świetnego serwisu społecznościowego, w którym czekają na nas setki atrakcyjnych, chętnych na seks kobiet. Jako że poziom użytkowników Facebooka często jest jaki jest (o czym można przekonać się wchodząc na dowolną grupkę randkową w tym serwisie), jesteśmy pewni, że szkodnik zbierze w ten sposób niezłe żniwo.

Jak się ratować?

Jeśli z jakiegoś powodu (niezdrowa ciekawość) doszliście do etapu instalacji rozszerzenia Chrome, to musicie usunąć je natychmiast z przeglądarki, wpisując w pasku adresowym chrome://extensions i odznaczając wszystkie podejrzane dodatki o nazwie zaczynającej się od Ubo, a następnie klikając ikonę kosza.

Jeśli z jakiegoś powodu okaże się to niemożliwe, należy zrobić to ręcznie, kasując katalog o nazwie jegjfinhocnmomhpgmnbjambmgbifjbg.

Na Windowsie powinien on znajdować się w katalogu C:\Users\nazwauzytkownika\AppData\Local\Google\Chrome\User Data\Default, na macOS-ie w katalogu Users/nazwauzytkownika/Library/Application Support/Google/Chrome/Default, zaś na Linuksie w katalogu /home/nazwauzytkownika/.config/google-chrome/default

Warto też wylogować się ze wszystkich serwisów internetowych i pozmieniać hasła.

A potem nie klikać podejrzanych linków także w Messengerze.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.