Spameri koriste Facebook Messenger za širenje malvera Nemucod i ransomwarea Locky

Opisi virusa, 23.11.2016, 01:30 AM

Spameri koriste Facebook Messenger za širenje malvera Nemucod i ransomwarea Locky

Ako od bilo kog prijatelja na Facebooku dobijete poruku sa slikom, tačnije sa .SVG image fajlom, nemojte kliknuti na nju.

U toku je spam kampanja koja širi malver downloader među korisnicima Facebooka koristeći kao mamac naizgled bezazleni fajl na koji oni treba da kliknu i tako inficiraju svoje računare.

Ako kliknu, rezultat će biti infekcija računara ozloglašenim ransomwareom Locky, koji je veoma popularan među sajber kriminalcima.

Spam kampanju je primetio istraživač Bart Blejz. Hakeri koriste Facebook Messenger da bi širili malver downloader Nemucod u formi .SVG image fajla.

Hakeri su izabrali .SVG image fajl za širenje malvera jer SVG može da sadrži sadržaj kao što je JavaScript i može da bude otvoren u modernim browserima.

U ovom slučaju SVG fajl sadrži JavaScript kod koji je ustvari link za eksterni fajl.

Ako korisnik klikne, maliciozni fajl će ga preusmeriti na web sajt koji izgleda kao YouTube, ali koji ima potpuno drugačiji URL.

Na sajtu se prikazuje pop up prozor u kome se od korisnika traži da preuzme i instalira određenu ekstenziju u Chromeu da bi mogao da gleda video. Maliciozna ekstenzija ima dva imena - Ubo i One.

Kada se instalira, ekstenzija omogućava hakerima da menjaju podatke u vezi web sajtova koje korisnik posećuje, ali i da iskoriste pristup browsera Facebook nalogu da bi poslali poruku svim Facebook prijateljima koja sadrži isti SVG image fajl.

Ali ono što je još gore je da Nemucod downloader u nekim slučajevima preuzima ransomware Locky na računare žrtava.

Locky je jedan od najpopularnijih ransomwarea među sajber kriminalcima koji šifruje sve fajlove na računaru sa RSA-2048 i AES-1024 enkripcijskim algoritmom. Žrtvi fajlovi mogu biti vraćeni tek onda kada plati otkupninu koju traže napadači.

Još uvek se ne zna kako su SVG fajlovi uspeli da izbegnu filter Facebooka koji ustvari predstavlja belu listu dozvoljenih ekstenzija. I Googleov i Facebookov tim za bezbednost obavešteni su o ovom napadu.

Google je već uklonio maliciozne ekstenzije iz Chrome prodavnice.

Iz Facebooka kažu da njihovi automatizovani sistemi sprečavaju pojavu štetnih linkova i fajlova na Facebooku, kao i da su ovi na koje je upozorio Blejz već blokirani. Iz kompanije su rekli da ovi linkovi nisu širili Locky, već pomenute dve ekstenzije za Chrome, kao i da je Facebook već prijavio Googleu sporne ekstenzije.

U kompaniji smatraju da je ovaj napad imao veoma ograničene domete u pogledu broja inficiranih korisnika, jer je bilo neophodno da korisnici sami instaliraju softver u browseru žrtve ili računaru.

Ako ste jedan od prevarenih koji su instalirali neku od ove dve ekstenzije, možete je ukloniti u Menu →More Tools → Extensions.

A ako vam je računar zaražen Lockyjem jedino rešenje za povratak fajlova je backup - ako ga imate.

Na kraju, Blejz vam savetuje da budete oprezni kada vam neko pošalje sliku, posebno ako znate da to nije uobičajeno ponašanje za njega.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Distributeri ransomwarea SamSam zaradili skoro 6 miliona dolara od žrtava

Distributeri ransomwarea SamSam zaradili skoro 6 miliona dolara od žrtava

Ransomware SamSam zaradio je svom tvorcu više od 5,9 miliona dolara, koliko su platile žrtve od kada se pojavio malver, krajem 2015. godine. Ovo je ... Dalje

PowerGhost: Novi majner koji isključivo napada firme širom sveta

PowerGhost: Novi majner koji isključivo napada firme širom sveta

Istraživači kompanije Kaspersky Lab otkrili su novi malver za rudarenje kriptovaluta, nazvan PowerGhost, koji je pogodio korporativne mreže u nekol... Dalje

Otkrivena nova verzija čuvenog bankarskog trojanca Kronos

Otkrivena nova verzija čuvenog bankarskog trojanca Kronos

Istraživači iz kompanije Proofpoint primetili su novu verziju starog bankarskog trojanca Kronos koji je bio na vrhuncu još 2014. godine. Nova verzi... Dalje

Šifrovati ili rudariti, pitanje je sad: Malver Rakhni odlučuje šta je isplatljivije

Šifrovati ili rudariti, pitanje je sad: Malver Rakhni odlučuje šta je isplatljivije

Istraživači kompanije Kaspersky Lab otkrili su zanimljiv malver koji inficira sisteme ili majnerom kriptovaluta ili ransomwareom, u zavisnosti od nj... Dalje

Clipboard Hijacker: Kako sajber kriminalci kradu kriptovalutu

Clipboard Hijacker: Kako sajber kriminalci kradu kriptovalutu

Kriptovalute su postale veoma popularne, ali slanje koina nije jednostavno jer zahteva da ih korisnici šalju na adrese koje su dugačke i koje je te... Dalje