Czerwona kropka: szkodnik ukryty w obrazku SVG roznosi się przez komunikator Facebooka
Wielu internautów uodporniło się już na złośliwe załącznikiprzesyłane pocztą – po prostu nie klikają. Ten zdrowy nawyk niemusi się jednak przenosić na inne kanały komunikacji. Na to licząosoby stojące za nową falą ataków, gdzie złośliweoprogramowanie przenoszone jest przez czat Facebooka, w postaci…wektorowego obrazka.
Scenariusz ataku został pomyślany dość dobrze, i z tego cowiemy niejeden nawet bardziej kompetentny technicznie internauta dałsię złapać. Podczas rozmowy na Messengerze (czy to mobilnym, czy wprzeglądarce) możemy otrzymać plik graficzny o nazwiephoto_XXXX.svg (czyli w otwartym formacie grafiki wektorowej).
Jeśli ofiara kliknie obrazek, zapewne z ciekawości – co tutakiego znajomy nam wysyła – zamiast obrazka uruchomi złośliwykod JavaScriptu. Jak to możliwe? Otóż faktycznie mamy do czynieniaz obrazkiem, rysowana jest czerwona kropka o promieniu 50 pikseli.Później jednak, całkowicie w zgodzie ze specyfikacją tegoformatu, osadzony jest skrypt z trojanem oznaczanym przez niektóreantywirusy jako Nemucod.CX.
Po uruchomieniu skryptu, ofiara zostaje przekierowana na pewienadres w domenie .pw (wyspy Palau), a następnie na różne jegosubdomeny o losowych nazwach. Tam zaczyna być ciekawie – trafiamyna podszywającą się pod YouTube stronę wideo, która zaprasza dopobrania „kodeka wideo”. Kodekiem wideo jest złośliwerozszerzenie przeglądarki, domagające się wszelkich możliwychuprawnień. To ono odpowiada za dalsze rozpowszechnianie szkodnika,ale też pozwala na wykradanie poufnych danych użytkowników.
Dość ciekawe jest to, że tylko raz możemy z danego adresu IPtrafić na stronę phishingową. Jeśli nie damy się złapać, awrócimy na wyspy Palau, będziemy zaproszeni do wypełnieniabzdurnej ankiety, mającej nas przekonać, że za chwilę trafimy doświetnego serwisu społecznościowego, w którym czekają na nassetki atrakcyjnych, chętnych na seks kobiet. Jako że poziomużytkowników Facebooka często jest jaki jest (o czym możnaprzekonać się wchodząc na dowolną grupkę randkową w tymserwisie), jesteśmy pewni, że szkodnik zbierze w ten sposób niezłeżniwo.
Jak się ratować?
Jeśli z jakiegoś powodu (niezdrowa ciekawość) doszliście doetapu instalacji rozszerzenia Chrome, to musicie usunąć jenatychmiast z przeglądarki, wpisując w pasku adresowymchrome://extensions i odznaczając wszystkie podejrzane dodatki o nazwie zaczynającej się od Ubo, anastępnie klikając ikonę kosza.
Jeśli z jakiegoś powodu okaże się to niemożliwe, należyzrobić to ręcznie, kasując katalog o nazwiejegjfinhocnmomhpgmnbjambmgbifjbg.
Na Windowsie powinien on znajdowaćsię w kataloguC:\Users\nazwauzytkownika\AppData\Local\Google\Chrome\UserData\Default, na macOS-ie w kataloguUsers/nazwauzytkownika/Library/ApplicationSupport/Google/Chrome/Default, zaś na Linuksie w katalogu/home/nazwauzytkownika/.config/google-chrome/default
Warto też wylogować się ze wszystkich serwisów internetowych ipozmieniać hasła.
A potem nie klikać podejrzanych linków także w Messengerze.
