Walentynki ze złośliwym oprogramowaniem

09-02-2012, 22:25

Wygląda na to, że nigdy nie jest zbyt wcześnie, żeby zacząć przygotowania do walentynek, nawet jeśli chodzi o złośliwe oprogramowanie. Ostatnio eksperci z firmy Trend Micro natknęli się na Facebooku na oszustów wykorzystujących zainteresowanie internautów tym świętem. Atak rozpoczyna się od umieszczenia na ścianie użytkownika komunikatu zachęcającego inne osoby do zastosowaniu walentynkowego motywu na swoich profilach.

Komunikat na Facebooku
fot. Trend Micro - Komunikat na Facebooku
Po kliknięciu komunikatu użytkownicy zostają przekierowani na kolejną stronę namawiającą ich do instalacji wspomnianego motywu. Należy zauważyć, że ten rodzaj ataku pojawia się tylko na przeglądarkach Google Chrome i Mozilla Firefox.

Kliknięcie przycisku "Instaluj" rozpocznie pobieranie szkodliwego pliku FacebookChrome.crx, identyfikowanego przez Trend Micro jako TROJ FOOKBACE.A. Po uaktywnieniu się szkodnik uruchamia skrypt, który wyświetla reklamy z określonych stron. Program instaluje się również na używanej przeglądarce jako rozszerzenie o nazwie "Facebook Improvement Facebook.com".

Kliknięcie przycisku Instaluj na tej stronie rozpoczyna ściąganie pliku FacebookChrome.crx
fot. Trend Micro - Kliknięcie przycisku Instaluj na tej stronie rozpoczyna ściąganie pliku FacebookChrome.crx
Po zainstalowaniu w przeglądarce złośliwe rozszerzenie rozpocznie śledzenie aktywności użytkowników w sieci i przekieruje ich na stronę z zapytaniem o ich numer telefonu komórkowego. Użytkownicy przeglądarki Internet Explorer (IE) zostaną przekierowani na stronę z zapytaniem zaraz po kliknięciu komunikatu na ścianie, bez proszenia o pobranie jakiegokolwiek pliku.

Czytaj też: Rozdają za darmo prawie wszystko na Facebooku, uwierzysz?

Po głębszej analizie eksperci ds. zagrożeń z firmy Trend Micro doszli do wniosku, że atak jest znacznie skuteczniejszy w przypadku użytkowników przeglądarek Google Chrome lub Mozilla Firefox. Przypomina instalację zwykłego rozszerzenia, wymagając tym samym mniejszego stopnia interakcji niż w przypadku Internet Explorera (kiedy użytkownik zostaje przekierowany na stronę z zapytaniem).

Zrzut ekranu pokazujący rozszerzenie Facebook Improvement Facebook.com
fot. Trend Micro - Zrzut ekranu pokazujący rozszerzenie Facebook Improvement Facebook.com
Skuteczność ataku opiera się na udawaniu zwyczajnej wtyczki dla Chrome, można więc założyć, że to użytkownicy tej przeglądarki są główną grupą docelową oszustwa, a przekierowanie na IE jest raczej późniejszym dodatkiem. Pomimo obecności funkcji śledzenia aktywności w sieci TROJ_FOOKBACE.A wydaje się nie być wyposażony w żadne narzędzia do kradzieży danych. Wpasowuje się raczej w kategorię ataku typu clickjacking, doprowadzając do automatycznego „polubienia” kilku stron na Facebooku oraz automatycznego umieszczenia komunikatu na ścianie użytkownika.

- To, że atak jest skupiony na przeglądarkach Chrome i Firefox, może znaczyć, że cyberprzestępcy wzięli na celownik przeglądarki obsługujące rozszerzenia, a także te, które cieszą się większą popularnością. Co prawda, nie jest to pierwszy atak tego typu, lecz biorąc pod uwagę fakt, że przeglądarki z rozszerzeniami wychodzą obecnie na prowadzenie, może być on ostrzeżeniem dla nas wszystkich: możemy mieć do czynienia z początkiem trendu, za którym cyberprzestępcy podążą w niedalekiej przyszłości - komentuje Filip Demianiuk, Regional Technical Manager International Markets North w firmie Trend Micro.

Warto pamiętać o tym, że cyberprzestępcy bardzo chętnie wykorzystują zainteresowanie internautów popularnymi w danym momencie tematami. Możemy być pewni, że motywy walentynkowe zostaną przez nich użyte do przeprowadzenia kolejnych ataków – warto więc tradycyjnie zachować zdrowy rozsądek.


Źródło: materiał nadesłany do redakcji
To warto przeczytać




fot. ZUS








Komentarze
comments powered by Disqus
  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Sierpień 2018»
PoWtŚrCzwPtSbNd
 12345
6789101112
13141516171819
20212223242526
2728293031 
Jak czytać DI?
Newsletter

Podaj teraz tylko e-mail!



RSS
Copyright © 1998-2018 by Dziennik Internautów Sp. z o.o. (GRUPA INFOR PL) Wszelkie prawa zastrzeżone.