Facebookowy robak poskromiony – internauci z Brazylii i Polski oberwali najmocniej

Spore wrażenie na wszyskich zrobił rozpoczęty w poprzedni weekendcyberatakna użytkowników Facebooka. Znamy już pierwsze jego efekty –trzeba powiedzieć, że operacja została zaprojektowana na szerokąskalę. Najbardziej „oberwało się” internautom z Brazylii iPolski.

W ciągu zaledwie 48 godzin chmura Kaspersky Security Networkodnotowała około 10 tysięcy prób ataku na całym świecie – aprzecież trzeba pamiętać, że to wyniki jedynie z końcówekchronionych przez to oprogramowanie antywirusowe. Przypomnijmy:poprzez sfałszowane powiadomienia o oznaczeniach na Facebooku,ofiara otrzymywała trojana (plik comment_27734045.jse),instalującego inne moduły, w tym rozszerzenie do Chrome. WedługKaspersky Lab, ślady w kodzie pozwalają sądzić, że napastnicyposługują się językiem tureckim – świadczyć o tym ma wykrytaw kodzie zmienna o nazwie „mozklasor”, po turecku „purpurowyfolder”.

Sam sposób instalacji był nader ciekawy: złośliwy skryptotwierał jedynie gniazdko do serwera dowodzenia i kontroli,wywoływał garść plików z rozszerzeniem .jpg i pobierał je jedenpo drugim. Gdy zostały pobrane, skrypt zmieniał ich rozszerzenia,uruchamiając następnie jeden z plików wsadowych, który ładowałplik wykonywalny, z jednym ze skryptów jako argumentem.

Prowadziło to do zamknięcia przeglądarki i dodania skrótów doChrome na pulpicie. Awaria przeglądarki powoduje łatwą doprzewidzenia reakcje użytkownika, będzie klikał w to, co munajbardziej przypomina ikonę przeglądarki. Tak więc w tym wypadkuofiary klikały w skrót na pulpicie, uruchamiający już zarażonąinstancję.

Taka zarażona instancja otwierała się z dodatkową kartą,zawierającą okno logowania Facebooka – wysoce sensowne, biorącpod uwagę to, że najpewniej wcześniej użytkownik właśnieFacebooka przeglądał – oraz niewielką dodatkową ikoną na paskunarzędziowym, symbolem zainstalowanego złośliwego rozszerzenia.Rozszerzenie miało dwa zadania – pobrać kolejny złośliwyładunek, oraz zablokować dostęp do całej listy stron zantywirusami.

Gdy użytkownik zalogował się Facebooka przez tak zmodyfikowanąprzeglądarkę, jego konto przejmowano, co pozwalało napastnikomzmienić ustawienia prywatności, wykraść dane z profilu, a przedewszystkim rozesłać wiadomości i oznaczenia do znajomych ofiary, byi oni mogli zostać zaatakowani.

Atak działał wyłącznie na komputerach z Windowsem i dziękipomysłowym technikom maskowania był bardzo trudny do wychwyceniaprzez antywirusy. To dość niepokojące, gdyż trojan, z któregoskorzystano do pobrania szkodliwych komponentów był wykryty już poraz pierwszy rok temu podczas podobnego ataku i otrzymał wtedy nazwęBePush/Killim.

Dziś można już powiedzieć, że sytuacja została opanowana.Facebook zablokował techniki wykorzystywane do propagacji szkodnikaprzez sieć społecznościową. Google poinformowało zaś, żeusunęło ze sklepu Chrome Web Store przynajmniej jedno rozszerzenie,które mogło zostać wykorzystane w ataku (choć nie odpowiedziało,jak to jest, że w ogóle tam trafiło). Obecnie też wszystkierozsiewane przez trojana pliki rozpoznawane są jako złośliwe przezpraktycznie wszystkie skanery antywirusowe.