Crv Kilis se širi Facebookom obećavajući ''skandalozne seksi fotografije''
Društvene mreže, 16.03.2015, 01:00 AM

Malwarebytes upozorava korisnike Facebooka na crva koji se širi preko društvene mreže i koji na računare dospeva posle niza preusmeravanja, pretvarajući zaražene računare u botove. Crv pripada familiji malvera Kilim.
Istraživač iz kompanije Malwarebytes Džerom Segura kaže da napad počinje porukom na Facebooku sa linkom za “skandalozne” seksi fotografije tinejžerki koje su navodno upakovane u video fajl koji je ustvari maliciozni program. Kada zarazi svoj računar, žrtva širi crva svim svojim kontaktima i grupama kojima pripada, objavljujući sledeću poruku: “Sex photos of teen girls in school - NEW SCANDAL WHL2R http://ow.ly/{uklonjeno} Like Share”.
Distributeri malvera koriste ow.ly servis za skraćivanje linkova, Amazon Web Services i Box.com cloud servis za skladištenje podataka.
Šta se dešava kada korisnik klikne da preuzme seksi fotografije tinejdžerki?
Skraćeni ow.ly link vodi do drugog ow.ly linka, koji vodi do Amazon Web Services stranice, sa koje se žrtva preusmerava na maliciozni sajt (videomasars.healthcare), gde se proverava da li žrtva koristi računar ili mobilni uređaj. Ako je ovo drugo u pitanju, korisnik se preusmerava na partnerske stranice za mobilne uređaje sa reklamama. Ako žrtva koristi računar, od nje se traži da preuzme fajl (Videos_New.mp4_2942281629029.exe) sa Box.com naloga.
Ovaj fajl je downloader trojanac (koji proizvodi Malwarebytes detektuju kao Trojan.Agent.ED), koji kada se pokrene preuzima crva (malicioznu ekstenziju za Chrome) i još dva fajla - scvhost.exe i son.exe. Zaraženi računar postaje bot koji sada širi ow.ly link kontaktima i grupama na Facebooku čiji je korisnik član. Malver kreira i prečicu za Chrome koja ustvari pokreće malicioznu aplikaciju u browseru vodeći do Facebookovog sajta.
“U ovom “izmenjenom” browseru, napadači imaju potpunu kontrolu nad svim korisnikovim aktivnostima ali i ograničenje određenih funkcija”, kaže Segura objašnjavajući da to omogućava napadačima da, na primer, onemoguće korisniku normalan pristup stranici sa ekstenzijama ukucavanjem chrome://extensions/, i tako ga spreče da deaktivira ili ukloni malicioznu ekstenziju.
Crv objavljuje i šalje poruku prijateljima korisnika, istu onakvu kakvu je najpre dobila žrtva, čime se lanac infekcije nastavlja.
U Malwarebytes ne znaju koliko je korisnika Facebooka naselo na ovu prevaru, ali pretpostavljaju da je reč o značajnom broju zaraženih računara.

Izdvojeno
Facebook želi da koristi slike koje nikada niste objavili za obuku AI modela

Facebook već godinama koristi javne objave, fotografije i interakcije korisnika za obuku veštačke inteligencije. Kompanija je već iskoristila javn... Dalje
Facebook uvodi passkey – bezbedniji način prijave bez lozinke
.jpg)
Facebook je najavio da uvodi passkey (digitalni ključ) kao novi način prijavljivanja na mobilnim uređajima, bez potrebe za klasičnim lozinkama. Ov... Dalje
Zašto sajber kriminalci traže posao na LinkedIn-u
.jpg)
Sajber kriminalci iz poznate grupe FIN6 predstavljaju se kao ljudi koji traže posao na platformama poput LinkedIn-a kako bi zarazili poslodavce malve... Dalje
Oglasi za lažne AI video generatore na Facebook-u i LinkedIn-u šire malvere

Mandiant Threat Defens upozorava korisnike na prevaru iza koje stoji grupa UNC6032 koja na društvenim mrežama postavlja oglase za lažne AI video al... Dalje
TikTok video snimci šire malvere Vidar i StealC

Sajber kriminalci koriste TikTok video snimke za širenje malvera za krađu informacija Vidar i StealC u ClickFix napadima, upozorava Trend Micro. Re... Dalje
Pratite nas
Nagrade