Spameri koriste Facebook Messenger za širenje malvera Nemucod i ransomwarea Locky

Opisi virusa, 23.11.2016, 01:30 AM

Spameri koriste Facebook Messenger za širenje malvera Nemucod i ransomwarea Locky

Ako od bilo kog prijatelja na Facebooku dobijete poruku sa slikom, tačnije sa .SVG image fajlom, nemojte kliknuti na nju.

U toku je spam kampanja koja širi malver downloader među korisnicima Facebooka koristeći kao mamac naizgled bezazleni fajl na koji oni treba da kliknu i tako inficiraju svoje računare.

Ako kliknu, rezultat će biti infekcija računara ozloglašenim ransomwareom Locky, koji je veoma popularan među sajber kriminalcima.

Spam kampanju je primetio istraživač Bart Blejz. Hakeri koriste Facebook Messenger da bi širili malver downloader Nemucod u formi .SVG image fajla.

Hakeri su izabrali .SVG image fajl za širenje malvera jer SVG može da sadrži sadržaj kao što je JavaScript i može da bude otvoren u modernim browserima.

U ovom slučaju SVG fajl sadrži JavaScript kod koji je ustvari link za eksterni fajl.

Ako korisnik klikne, maliciozni fajl će ga preusmeriti na web sajt koji izgleda kao YouTube, ali koji ima potpuno drugačiji URL.

Na sajtu se prikazuje pop up prozor u kome se od korisnika traži da preuzme i instalira određenu ekstenziju u Chromeu da bi mogao da gleda video. Maliciozna ekstenzija ima dva imena - Ubo i One.

Kada se instalira, ekstenzija omogućava hakerima da menjaju podatke u vezi web sajtova koje korisnik posećuje, ali i da iskoriste pristup browsera Facebook nalogu da bi poslali poruku svim Facebook prijateljima koja sadrži isti SVG image fajl.

Ali ono što je još gore je da Nemucod downloader u nekim slučajevima preuzima ransomware Locky na računare žrtava.

Locky je jedan od najpopularnijih ransomwarea među sajber kriminalcima koji šifruje sve fajlove na računaru sa RSA-2048 i AES-1024 enkripcijskim algoritmom. Žrtvi fajlovi mogu biti vraćeni tek onda kada plati otkupninu koju traže napadači.

Još uvek se ne zna kako su SVG fajlovi uspeli da izbegnu filter Facebooka koji ustvari predstavlja belu listu dozvoljenih ekstenzija. I Googleov i Facebookov tim za bezbednost obavešteni su o ovom napadu.

Google je već uklonio maliciozne ekstenzije iz Chrome prodavnice.

Iz Facebooka kažu da njihovi automatizovani sistemi sprečavaju pojavu štetnih linkova i fajlova na Facebooku, kao i da su ovi na koje je upozorio Blejz već blokirani. Iz kompanije su rekli da ovi linkovi nisu širili Locky, već pomenute dve ekstenzije za Chrome, kao i da je Facebook već prijavio Googleu sporne ekstenzije.

U kompaniji smatraju da je ovaj napad imao veoma ograničene domete u pogledu broja inficiranih korisnika, jer je bilo neophodno da korisnici sami instaliraju softver u browseru žrtve ili računaru.

Ako ste jedan od prevarenih koji su instalirali neku od ove dve ekstenzije, možete je ukloniti u Menu →More Tools → Extensions.

A ako vam je računar zaražen Lockyjem jedino rešenje za povratak fajlova je backup - ako ga imate.

Na kraju, Blejz vam savetuje da budete oprezni kada vam neko pošalje sliku, posebno ako znate da to nije uobičajeno ponašanje za njega.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver WinstarNssmMiner rudari Monero, zaobilazi antiviruse i ruši Windows

Malver WinstarNssmMiner rudari Monero, zaobilazi antiviruse i ruši Windows

Rudarenje digitalnog novca je novi trend u svetu malvera, o čemu svedoči i nedavno otkriveni agresivni malver koga su primetili istraživači iz fir... Dalje

Malver Vega Stealer krade lozinke i podatke kartica iz Chromea i Firefoxa

Malver Vega Stealer krade lozinke i podatke kartica iz Chromea i Firefoxa

Istraživači kompanije Proofpoint otkrili su novi malver koji krade sačuvane lozinke i podatke o platnim karticama iz Chromea i Firefoxa. Pored toga... Dalje

Nova verzija ransomwarea SynAck koristi tehniku koja mu pomaže da izbegne antiviruse

Nova verzija ransomwarea SynAck koristi tehniku koja mu pomaže da izbegne antiviruse

Istraživači kompanije Kaspersky Lab otkrili su novu verziju ransomwarea SynAck koja koristi tehniku dvojnika procesa (Process Doppelgänging) da... Dalje

Novi sajber špijun ZooPark

Novi sajber špijun ZooPark

Istraživači kompanije Kaspersky Lab otkrili su ZooPark, sofisticiranu sajber špijunažu, koja je započela pre nekoliko godina i čiji su ciljevi k... Dalje

Maliciozna ekstenzija za Chrome se širi preko Facebook Messengera

Maliciozna ekstenzija za Chrome se širi preko Facebook Messengera

Ako dobijete link za video, čak i ako vam se učini zanimljivim, ako vam ga je poslao prijatelj ili neko drugi preko Facebook Messengera, razmislite ... Dalje