Trojanac sa Facebooka za samo dva dana zarazio računare 110000 korisnika

Društvene mreže, 02.02.2015, 10:00 AM

Novi trojanac koji se pojavio na Facebooku za samo dva dana uspeo je da se raširi na više od 110000 korisničkih profila, označavajući prijatelje žrtava u objavama koje vode do navodnog pornografskog videa. Zato budite oprezni - osim toga što možete inficirati računar, može vam biti neprijatno i to što će vaši prijatelji i porodica videti da ste pogledali i podelili porno snimak na svom profilu.

Prevare sa označavanjem korisnika nisu novina na Facebooku, ali su u poslednje vreme veoma učestale.

Bitdefender je prošle nedelje objavio analizu jedne takve prevare. Za manje od jednog sata, u Bitdefenderu su zabeležili više od 5000 novih žrtava za koje su mamci bili različiti video snimci, a u svim ovakvim objavama bilo je označeno po 20 prijatelja žrtava.

U zavsinosti od uređaja sa koga se pristupa lažnom sadržaju, sajber kriminalci usmeravaju korisnike na različite stranice. U slučajevima kada pristupaju sadržaju sa mobilnih uređaja, žrtve se šalju na sajt na kome kriminalci pokušavaju da ih ubede da se pretplate na neke servise.

Ako je u pitanju korisnik Windowsa klik na link u objavi vodi na stranicu na kojoj se potencijalnoj žrtvi nudi da pogleda porno snimak. Prikazivanje videa se prekida posle nekoliko sekundi da bi se gledaocu ponudilo da preuzme maliciozni fajl koji je predstavljen kao nadogradnja za Flash Player bez koje je nemoguće pogledati video do kraja.

Mohamed Reza Fagani, koji je konsultant u firmi PricewaterhouseCoopers, je otkrio sličnu prevaru, a prema njegovoj analizi broj žrtava ove prevare je u porastu.

On kaže da je ovaj trojanac drugačiji od ranijih sličnih trojanaca koji su se pojavljivali na Facebooku. Ranije su trojanci slali poruke u ime žrtava njihovim prijateljima. Pošto bi inficirao računare prijatelja žrtve, malver je mogao da inficira prijatelje njenih prijatelja.

U ovom slučaju se sajber kriminalci koji su odgovorni za širenje ovog trojanca oslanjaju na agresivniji metod distribucije malvera, koji je Fagani nazvao “magnet”, koji podrazumeva da prijatelji žrtvinih prijatelja takođe mogu videti objavu, čime se broj potencijalnih žrtava uvećava, i ubrzava širenje malvera.

Preuzimanjem lažne nadogradnje za Flash Player žrtva ustvari preuzima trojanca koji omogućava napadačima da preuzmu kontrolu nad tastaturom i mišem, što im omogućava da dođu u posed osetljivih podataka kao što su lozinke webmail i bankovnog naloga.

Analiza malvera pokazuje da lažna nadogradnja za Flash Player ostavlja na kompromitovanom sistemu niz izvršnih fajlova (chromium.exe, wget.exe, arsiv.exe, verclsid.exe). Chromium.exe je generički dropper koji može da preuzerima i druge dodatne malvere.

Srećom, većina antivirusa detektuje ovaj malver.

Fagani kaže da su dva domena (pornkan.com i filmver.com) koje kontaktira trojanac registrovana u oktrobru prošle godine i da je u slučaju oba domena registar FBS Inc., kompanija iz Turske koja nudi usluge registrovanja imena domena.

Još jedan domen na kome se hostuju maliciozni video snimci (videooizeyin.com) je registrovan prošle nedelje, što pokazuje da kriminalci nemaju nameru da odustanu.

I istraživači iz Bitdefendera su zaključili da su sajber kriminalci umešani u ovu prevaru turskog porekla, tako da je moguće da iza prevara koje su analizirali Fagani i Bitdefender stoji ista grupa.