Trojanac sakriven u ekstenziji za Chrome se širi na Facebooku

Društvene mreže, 05.05.2016, 01:30 AM

Trojan.BPlug.1074 je ime nedavno otkrivenog malvera koji se krije u dodacima za Chrome a koji spamuje Facebook prijatelje žrtava linkovima koji vode do malicioznih web sajtova.

BPlug je primećen prvi put pre dve nedelje u jednoj za sada neimenovanoj ekstenziji za Google Chrome. Kada korisnik instalira dodatak za Chrome, malver čeka da on poseti Facebook sajt.

Kada se to desi, trojanac će dobiti korisnikov UID (korisnički identifikator) iz kolačića i CSRF token od web stranice društvene mreže, što će mu omogućiti da deluje na Facebooku u korisnikovo ime a iza njegovih leđa.

BPlug krije neke od opcija iz menija u gornjem desnom uglu Facebookovog sajta, i tako sprečava žrtvu da pristupi meniju.

Trojanac pravi grupu sa nasumično odabranim nazivom u korisnikovo ime. U toj grupi trojanac, koristeći profilnu sliku žrtve i adresu web stranice dobijenu iz konfiguracijskog fajla, s vremena na vreme generiše objavu “share a link” i nasumično označava ljude sa liste korisnikovih Facebook prijatelja. Ti ljudi će dobiti obaveštenja o tome i na njihovom zidu takođe će se pojaviti ova objava. Deo njih bi verovatno pogledao objavu u grupi, a neki od njih bi i kliknuli na link, ako ne prepoznaju da je reč o spamu.

Link vodi korisnike do web sajta koji liči na Facebookov tako da izgleda kao da je neko podelio link za YouTube video sa svojim prijateljima. Kada žrtva klikne na video od nje se traži da preuzme plugin. U pitanju je još jedan plugin za Google Chrome koji takođe sadrži trojanca BPlug ali mogu biti u pitanju i neki drugi dodaci za Chrome.

Zanimljivo je da se YouTube video prikazuje jedino ako se klikne na link u grupi, ali ako se stranici pristupi direktno ili sa drugog web sajta prikazuje se bela stranica.

Iz ruske kompanije Doctor Web čiji su istraživači otkrili ovaj malver kažu da je do sada više od 12000 korisnika Chromea instaliralo ovaj plugin.