Spameri koriste Facebook Messenger za širenje malvera Nemucod i ransomwarea Locky

Opisi virusa, 23.11.2016, 01:30 AM

Spameri koriste Facebook Messenger za širenje malvera Nemucod i ransomwarea Locky

Ako od bilo kog prijatelja na Facebooku dobijete poruku sa slikom, tačnije sa .SVG image fajlom, nemojte kliknuti na nju.

U toku je spam kampanja koja širi malver downloader među korisnicima Facebooka koristeći kao mamac naizgled bezazleni fajl na koji oni treba da kliknu i tako inficiraju svoje računare.

Ako kliknu, rezultat će biti infekcija računara ozloglašenim ransomwareom Locky, koji je veoma popularan među sajber kriminalcima.

Spam kampanju je primetio istraživač Bart Blejz. Hakeri koriste Facebook Messenger da bi širili malver downloader Nemucod u formi .SVG image fajla.

Hakeri su izabrali .SVG image fajl za širenje malvera jer SVG može da sadrži sadržaj kao što je JavaScript i može da bude otvoren u modernim browserima.

U ovom slučaju SVG fajl sadrži JavaScript kod koji je ustvari link za eksterni fajl.

Ako korisnik klikne, maliciozni fajl će ga preusmeriti na web sajt koji izgleda kao YouTube, ali koji ima potpuno drugačiji URL.

Na sajtu se prikazuje pop up prozor u kome se od korisnika traži da preuzme i instalira određenu ekstenziju u Chromeu da bi mogao da gleda video. Maliciozna ekstenzija ima dva imena - Ubo i One.

Kada se instalira, ekstenzija omogućava hakerima da menjaju podatke u vezi web sajtova koje korisnik posećuje, ali i da iskoriste pristup browsera Facebook nalogu da bi poslali poruku svim Facebook prijateljima koja sadrži isti SVG image fajl.

Ali ono što je još gore je da Nemucod downloader u nekim slučajevima preuzima ransomware Locky na računare žrtava.

Locky je jedan od najpopularnijih ransomwarea među sajber kriminalcima koji šifruje sve fajlove na računaru sa RSA-2048 i AES-1024 enkripcijskim algoritmom. Žrtvi fajlovi mogu biti vraćeni tek onda kada plati otkupninu koju traže napadači.

Još uvek se ne zna kako su SVG fajlovi uspeli da izbegnu filter Facebooka koji ustvari predstavlja belu listu dozvoljenih ekstenzija. I Googleov i Facebookov tim za bezbednost obavešteni su o ovom napadu.

Google je već uklonio maliciozne ekstenzije iz Chrome prodavnice.

Iz Facebooka kažu da njihovi automatizovani sistemi sprečavaju pojavu štetnih linkova i fajlova na Facebooku, kao i da su ovi na koje je upozorio Blejz već blokirani. Iz kompanije su rekli da ovi linkovi nisu širili Locky, već pomenute dve ekstenzije za Chrome, kao i da je Facebook već prijavio Googleu sporne ekstenzije.

U kompaniji smatraju da je ovaj napad imao veoma ograničene domete u pogledu broja inficiranih korisnika, jer je bilo neophodno da korisnici sami instaliraju softver u browseru žrtve ili računaru.

Ako ste jedan od prevarenih koji su instalirali neku od ove dve ekstenzije, možete je ukloniti u Menu →More Tools → Extensions.

A ako vam je računar zaražen Lockyjem jedino rešenje za povratak fajlova je backup - ako ga imate.

Na kraju, Blejz vam savetuje da budete oprezni kada vam neko pošalje sliku, posebno ako znate da to nije uobičajeno ponašanje za njega.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Linux malver uklanja druge malvere sa sistema, a evo zbog čega to radi

Linux malver uklanja druge malvere sa sistema, a evo zbog čega to radi

Majneri kripto-valuta postali su novi standard u svetu malvera, a nove verzije postaju sve složenije, jer su u mogućnosti da efikasnije sakriju svo... Dalje

Windows .exe malver cilja Mac računare

Windows .exe malver cilja Mac računare

Maliciozni Windows EXE fajl može zaraziti i vaš Mac računar. Da, dobro ste pročitali - .exe malver na macOS-u. Istraživači kompanije Trend Micro... Dalje

Slika Super Maria iz emailova krije ransomware GandCrab

Slika Super Maria iz emailova krije ransomware GandCrab

Istraživači iz firme Bromium otkrili su emailove sa Microsoft Excel dokumentima koji imaju nazive kao što je "F.DOC.2019 A 259 SPA.xls" koji kada s... Dalje

Jedan od najdestruktivnijih malvera na svetu se vratio i napao opet jednu naftnu kompaniju

Jedan od najdestruktivnijih malvera na svetu se vratio i napao opet jednu naftnu kompaniju

Malver Shamoon se vratio. Za one koji prvi put čuju za Shamoon, reč je o jednom od najdestruktivnijih malvera koji je 2012. napravio haos u kompanij... Dalje

Novi sajber špijun, backdoor GreyEnergy

Novi sajber špijun, backdoor GreyEnergy

Istraživač iz firme Nozomi Networks, Alesandro Di Pinto, otkrio je veoma kompleksan backdoor malver koji je delo APT (advanced persistent threat) gr... Dalje