Za 48 sati trojanac inficirao računare na hiljade korisnika Facebooka

Društvene mreže, 05.07.2016, 08:00 AM

26. juna izraelski mediji bili su preplavljeni vestima o fišing kampanji čije su žrtve bili korisnici Facebooka. Hiljade izraelskih korisnika najpopularnije društvene mreže u svetu žalili su se da su im računari inficirani virusom. Do infekcije je dolazilo tako što su korisnici dobijali obaveštenje da ih je u komentaru spomenuo neko od prijatelja sa Facebooka.

Tada je Kaspersky Lab počeo da istražuje o čemu se radi. Stručnjaci ruske kompanije su ubrzo shvatili da napad nije ograničen samo na Izrael, već da je usmeren na korisnike širom sveta.

Prva faza napada počinje kada korisnik klikne na obaveštenje pri čemu se krišom preuzima trojanac.

Tokom druge faze napada, trojanac preuzima i instalira ekstenziju u Chromeu, ako nađe ovaj browser na sistemu.

Kada korisnik ponovo pokuša da pristupi Facebooku, ova ekstenzija traži da se ponovo prijavi na nalog. Očekivano, korisničko ime i lozinku koje korisnik bude uneo na stranicu za prijavljivanje, ekstenzija šalje serveru koji je pod kontrolom napadača.

To napadačima obezbeđuje kontrolu nad nalogom žrtve. Oni tada mogu da manipulišu nalogom koji će onda lajkovati i deliti sadržaj bez kontrole korisnika, i spamovati prijatelje da bi se malver dalje širio.

To je verovatno i cilj napadača koji verovatno prodaju lajkove i shareove koje obezbeđuje bot mreža sastavljena od inficiranih računara.

Malver funkcioniše na ovaj način samo ako korisnik pristupa Facebooku sa Windows računara. Drugim rečima, riziku su bili izloženi uglavnom korisnici Windowsa, i eventualno korisnici Windows OS telefona, iako je ovo drugo manje verovatno. Korisnici Androida i iOS su bili u potpunosti imuni na ovaj malver jer on nije kompatibilan sa ovim mobilnim operativnim sistemima.

Zanimljivo je da malver štiti sebe crnom listom na kojoj se nalaze početne stranice nekoliko proizvođača antivirusa.

Najveći broj žrtava ove kampanje je iz Brazila, Poljske, Perua, Kolumbije, Meksika, Ekvadora, Grčke, Portugalije, Tunisa, Venecuele, Nemačke i Izraela.

Malver je bio izuzetno efikasan, kažu iz Kaspersky Laba. Za samo 48 sati uspeo je da inficira računare na hiljade korisnika. Kaspersky Lab je za to vreme zabeležio skoro 10000 pokušaja infekcije širom sveta. Zahvaljujući korisnicima koji su prijavili napad, i medijima koji su to preneli, vrlo brzo se saznalo za ovaj napad, što je dovelo do brze akcije i istrage. Facebook je upozoren na napad, posle čega su inženjeri kompanije blokirali tehnike koje je malver koristio za širenje. I Google je reagovao uklanjanjem lažne ekstenzije iz Chrome web prodavnice.

Ako vam je računar inficiran, stručnjaci Kaspersky Laba savetuju da se odjavite sa Facebook naloga, da zatvorite browser i da isključite mrežni kabl iz računara. Dobro bi bilo da zatražite pomoć stručnjaka ili da sami uklonite malver sa računara. Na kraju, instalirajte ažurirani antivirusni program.

Više detalja o ovom napadu možete naći na blogu kompanije Kaspersky Lab, Securelist.com.