r   e   k   l   a   m   a
r   e   k   l   a   m   a

Facebookowy robak poskromiony – internauci z Brazylii i Polski oberwali najmocniej

Strona główna AktualnościBEZPIECZEŃSTWO

Spore wrażenie na wszyskich zrobił rozpoczęty w poprzedni weekend cyberatak na użytkowników Facebooka. Znamy już pierwsze jego efekty – trzeba powiedzieć, że operacja została zaprojektowana na szeroką skalę. Najbardziej „oberwało się” internautom z Brazylii i Polski.

W ciągu zaledwie 48 godzin chmura Kaspersky Security Network odnotowała około 10 tysięcy prób ataku na całym świecie – a przecież trzeba pamiętać, że to wyniki jedynie z końcówek chronionych przez to oprogramowanie antywirusowe. Przypomnijmy: poprzez sfałszowane powiadomienia o oznaczeniach na Facebooku, ofiara otrzymywała trojana (plik comment_27734045.jse), instalującego inne moduły, w tym rozszerzenie do Chrome. Według Kaspersky Lab, ślady w kodzie pozwalają sądzić, że napastnicy posługują się językiem tureckim – świadczyć o tym ma wykryta w kodzie zmienna o nazwie „mozklasor”, po turecku „purpurowy folder”.

Sam sposób instalacji był nader ciekawy: złośliwy skrypt otwierał jedynie gniazdko do serwera dowodzenia i kontroli, wywoływał garść plików z rozszerzeniem .jpg i pobierał je jeden po drugim. Gdy zostały pobrane, skrypt zmieniał ich rozszerzenia, uruchamiając następnie jeden z plików wsadowych, który ładował plik wykonywalny, z jednym ze skryptów jako argumentem.

r   e   k   l   a   m   a

Prowadziło to do zamknięcia przeglądarki i dodania skrótów do Chrome na pulpicie. Awaria przeglądarki powoduje łatwą do przewidzenia reakcje użytkownika, będzie klikał w to, co mu najbardziej przypomina ikonę przeglądarki. Tak więc w tym wypadku ofiary klikały w skrót na pulpicie, uruchamiający już zarażoną instancję.

Taka zarażona instancja otwierała się z dodatkową kartą, zawierającą okno logowania Facebooka – wysoce sensowne, biorąc pod uwagę to, że najpewniej wcześniej użytkownik właśnie Facebooka przeglądał – oraz niewielką dodatkową ikoną na pasku narzędziowym, symbolem zainstalowanego złośliwego rozszerzenia. Rozszerzenie miało dwa zadania – pobrać kolejny złośliwy ładunek, oraz zablokować dostęp do całej listy stron z antywirusami.

Gdy użytkownik zalogował się Facebooka przez tak zmodyfikowaną przeglądarkę, jego konto przejmowano, co pozwalało napastnikom zmienić ustawienia prywatności, wykraść dane z profilu, a przede wszystkim rozesłać wiadomości i oznaczenia do znajomych ofiary, by i oni mogli zostać zaatakowani.

Atak działał wyłącznie na komputerach z Windowsem i dzięki pomysłowym technikom maskowania był bardzo trudny do wychwycenia przez antywirusy. To dość niepokojące, gdyż trojan, z którego skorzystano do pobrania szkodliwych komponentów był wykryty już po raz pierwszy rok temu podczas podobnego ataku i otrzymał wtedy nazwę BePush/Killim.

Dziś można już powiedzieć, że sytuacja została opanowana. Facebook zablokował techniki wykorzystywane do propagacji szkodnika przez sieć społecznościową. Google poinformowało zaś, że usunęło ze sklepu Chrome Web Store przynajmniej jedno rozszerzenie, które mogło zostać wykorzystane w ataku (choć nie odpowiedziało, jak to jest, że w ogóle tam trafiło). Obecnie też wszystkie rozsiewane przez trojana pliki rozpoznawane są jako złośliwe przez praktycznie wszystkie skanery antywirusowe.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.