Facebook prevara: Lažni privatni video Eme Votson krije trojance

Društvene mreže, 10.10.2014, 11:26 AM

Nova prevara na Facebooku - popularnost glumice Eme Votson koristi se za širenje malvera na društvenoj mreži, upozoravaju iz Bitdefendera. Po svemu sudeći, ova prevara je inspirisana nedavnim curenjem golišavih fotografija poznatih.

Kao i u slučaju svih takvih prevara, i u slučaju ove korisnicima se obećava pristup privatnom video snimku glumice.

Lanac infekcije započinje Facebook komenatarima koji dolaze sa naloga korisnika čiji su računari već zaraženi. Prevareni korisnici praktično služe kriminalcima za dalje širenje infekcije.

U komentarima koji služe kao mamac obećavaju se privatni snimci mlade glumice. Kada korisnici kliknu na maliciozne linkove u takvim komentarima, preusmeravaju se na lažni YouTube, gde će im biti zatraženo da nadograde svoj Flash Player, jer sa verzijom koju imaju na računaru navodno ne mogu da pogledaju procurele snimke Eme Votson.

“Naš sistem je otkrio da koristite zastarelu verziju Video Playera, da biste gledali videa na YouTubeu molimo vas da ga nadogradite na najnoviju sigurnu verziju klikom na dugme ispod “Upgrade Now”, stoji u poruci o grešci. “Kada preuzmete i instalirate ažuriranje restartujte browser da biste pogledali video.”

Da bi sve izgledalo uverljivo, lažni YouTube nalog koristi masku po kojoj je prepoznatljiva hakerska grupa Anonimusi koja je u prošlosti često povezivana sa procurelim privatnim snimcima poznatih.

Istraživači Bitdefendera analizirali su fajl koji korisnici treba da preuzmu kao ažuriranje za Flash Player. Ispostavilo se da taj fajl krije trojance (Trojan.JS.Facebook.A i Trojan.Agent.BFQZ) koji menjaju konfiguraciju browsera i onemogućavaju pristup žrtve spisku ekstenzija, aktivnostima na Facebooku i podešavanjima naloga.

Trojan.Agent.BFQZ ostavlja maliciozne komponente u instalacionom folderu Internet Explorera. On može da ukrade anti-CSRF (Cross-Site-Request Forgery) token, omogućavajući napadačima da preotmu Facebook sesiju i da u ime korisnika sprovode maliciozne aktivnosti, između ostalih, i objavljivanje gore spomenutih komenatara na svaku objavu sa timelinea žrtve, lajkovanje Facebook stranica i druge.

Prevaranti pokušavaju da zarade od ove kampanje što više pre nego što budu blokirani, i u tu svrhu koriste linkove koji vode korisnike do online anketa, koje su prilagođene lokaciji korisnika tako da su dostupne na različitim jezicima.

Kada žrtva pokuša da popuni anketu, koja je obično još jedan uslov da bi se pogledao obećani video, od nje se traže lični podaci, od kojih kriminalci mogu imati koristi jer ih mogu prodati na crnom tržištu.