Spameri koriste Facebook Messenger za širenje malvera Nemucod i ransomwarea Locky

Opisi virusa, 23.11.2016, 01:30 AM

Spameri koriste Facebook Messenger za širenje malvera Nemucod i ransomwarea Locky

Ako od bilo kog prijatelja na Facebooku dobijete poruku sa slikom, tačnije sa .SVG image fajlom, nemojte kliknuti na nju.

U toku je spam kampanja koja širi malver downloader među korisnicima Facebooka koristeći kao mamac naizgled bezazleni fajl na koji oni treba da kliknu i tako inficiraju svoje računare.

Ako kliknu, rezultat će biti infekcija računara ozloglašenim ransomwareom Locky, koji je veoma popularan među sajber kriminalcima.

Spam kampanju je primetio istraživač Bart Blejz. Hakeri koriste Facebook Messenger da bi širili malver downloader Nemucod u formi .SVG image fajla.

Hakeri su izabrali .SVG image fajl za širenje malvera jer SVG može da sadrži sadržaj kao što je JavaScript i može da bude otvoren u modernim browserima.

U ovom slučaju SVG fajl sadrži JavaScript kod koji je ustvari link za eksterni fajl.

Ako korisnik klikne, maliciozni fajl će ga preusmeriti na web sajt koji izgleda kao YouTube, ali koji ima potpuno drugačiji URL.

Na sajtu se prikazuje pop up prozor u kome se od korisnika traži da preuzme i instalira određenu ekstenziju u Chromeu da bi mogao da gleda video. Maliciozna ekstenzija ima dva imena - Ubo i One.

Kada se instalira, ekstenzija omogućava hakerima da menjaju podatke u vezi web sajtova koje korisnik posećuje, ali i da iskoriste pristup browsera Facebook nalogu da bi poslali poruku svim Facebook prijateljima koja sadrži isti SVG image fajl.

Ali ono što je još gore je da Nemucod downloader u nekim slučajevima preuzima ransomware Locky na računare žrtava.

Locky je jedan od najpopularnijih ransomwarea među sajber kriminalcima koji šifruje sve fajlove na računaru sa RSA-2048 i AES-1024 enkripcijskim algoritmom. Žrtvi fajlovi mogu biti vraćeni tek onda kada plati otkupninu koju traže napadači.

Još uvek se ne zna kako su SVG fajlovi uspeli da izbegnu filter Facebooka koji ustvari predstavlja belu listu dozvoljenih ekstenzija. I Googleov i Facebookov tim za bezbednost obavešteni su o ovom napadu.

Google je već uklonio maliciozne ekstenzije iz Chrome prodavnice.

Iz Facebooka kažu da njihovi automatizovani sistemi sprečavaju pojavu štetnih linkova i fajlova na Facebooku, kao i da su ovi na koje je upozorio Blejz već blokirani. Iz kompanije su rekli da ovi linkovi nisu širili Locky, već pomenute dve ekstenzije za Chrome, kao i da je Facebook već prijavio Googleu sporne ekstenzije.

U kompaniji smatraju da je ovaj napad imao veoma ograničene domete u pogledu broja inficiranih korisnika, jer je bilo neophodno da korisnici sami instaliraju softver u browseru žrtve ili računaru.

Ako ste jedan od prevarenih koji su instalirali neku od ove dve ekstenzije, možete je ukloniti u Menu →More Tools → Extensions.

A ako vam je računar zaražen Lockyjem jedino rešenje za povratak fajlova je backup - ako ga imate.

Na kraju, Blejz vam savetuje da budete oprezni kada vam neko pošalje sliku, posebno ako znate da to nije uobičajeno ponašanje za njega.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Poznati bankarski trojanac Trickbot sada krade lozinke i iz browsera i aplikacija

Poznati bankarski trojanac Trickbot sada krade lozinke i iz browsera i aplikacija

Poznati bankarski trojanac Trickbot unapređen je novim modulima koji su dizajnirani da prošire njegove mogućnosti, tako da sada omogućava napada... Dalje

Lažna Flash ažuriranja šire kriptomajner XMRig

Lažna Flash ažuriranja šire kriptomajner XMRig

Maliciozna ažuriranja za Flash često su korišćena za širenje droppera, malvera koji instaliraju druge malvere, ali istraživači iz Palo Alto Uni... Dalje

Posle pet godina napada na korisnike banaka, otkriven malver Dark Tequila

Posle pet godina napada na korisnike banaka, otkriven malver Dark Tequila

Istraživači iz kompanije Kaspersky Labs otkrili su složenu kampanju distribucije jednog malvera koja je usmerena na korisnike meksičkih banaka i k... Dalje

Distributeri ransomwarea SamSam zaradili skoro 6 miliona dolara od žrtava

Distributeri ransomwarea SamSam zaradili skoro 6 miliona dolara od žrtava

Ransomware SamSam zaradio je svom tvorcu više od 5,9 miliona dolara, koliko su platile žrtve od kada se pojavio malver, krajem 2015. godine. Ovo je ... Dalje

PowerGhost: Novi majner koji isključivo napada firme širom sveta

PowerGhost: Novi majner koji isključivo napada firme širom sveta

Istraživači kompanije Kaspersky Lab otkrili su novi malver za rudarenje kriptovaluta, nazvan PowerGhost, koji je pogodio korporativne mreže u nekol... Dalje