Cyberprzestępcy znowu wykorzystują Facebooka

W ostatnich dniach specjaliści z Kaspersky Lab wykryli nowe wiadomości spamowe ze szkodliwymi odsyłaczami, wysyłane za pośrednictwem różnych komunikatorów internetowych. Okazało się, że za wysyłkami stoi robak Zeroll, a wiadomości, różniące się językiem w zależności od odbiorcy, były generowane przez bota. Oto kilka przykładów: „Wie findest du das Foto?”, „seen this?? 😀 %s”, „This is the funniest photo ever!”, „bekijk deze foto :D”, „uita-te la aceasta fotografie :D”

Tak jak w przypadku wielu innych, podobnych incydentów, cyberprzestępcy wykorzystali socjotechnikę, zachęcając użytkowników do obejrzenia zdjęć o kuszących nazwach. Na końcu wiadomości znajduje się odsyłacz, taki jak http://www.facebook.com/l.php?u=********.org/Jenny.jpg. Oprócz odsyłacza do pliku Jenny.jpg wiadomości zawierały również podobne odsyłacze do Sexy.jpg.

Strona, do której prowadzi odsyłacz http://www.facebook.com/l.php?u=, w rzeczywistości nie jest szkodliwa – zawiera ostrzeżenie z Facebooka informujące użytkownika, że opuszcza stronę.

Jeżeli użytkownik kliknie przycisk „Continue”, odsyłacz zaprowadzi go na zainfekowaną stronę. Cyberprzestępcy wykorzystali ten mechanizm, aby szkodliwy odsyłacz wyglądał na całkowicie bezpieczny. Użytkownik zostanie przekierowany na adres ********.org/Jenny.jpg, który z kolei prowadzi do zainfekowanego pliku PIC1274214241-JPG-www.facebook.com.exe. W efekcie szkodliwy program jest instalowany i uruchamiany na komputerze niczego niepodejrzewającego użytkownika. W przypadku próby obejrzenia obrazka Sexy.jpg dzieje się dokładnie to samo.

Analiza szkodników, do których prowadzą „obrazki” Jenny.jpg oraz Sexy.jpg wykazała, że są to typowe downloadery, czyli aplikacje pobierające na zainfekowany komputer inne niebezpieczne programy. W tym przypadku pobierany jest plik srce.exe.

Aby użytkownik niczego nie podejrzewał, downloadery otwierają również zdjęcie obiecywane w pierwotnej wiadomości spamowej. Zdjęcie jest pobierane z Internetu. Czym jest srce.exe? Jest to aplikacja pobierająca robaka IM-Worm.Win32.XorBot.a, który wykorzystuje komunikator Yahoo Messenger w celu wysyłania kolejnych zainfekowanych wiadomości użytkownikom.

Podsumowując, odsyłacz do strony na Facebooku jest wykorzystywany w spamie wysyłanym za pośrednictwem komunikatorów internetowych zamiast bezpośredniego odsyłacza do szkodliwego obiektu. Można powiedzieć, że Facebook jest wykorzystywany w ten sam sposób co usługa typu bit.ly: pozwala modyfikować odsyłacze, tak aby były kierowane przez domenę Facebook.

Więcej informacji o najnowszych atakach oraz innych incydentach związanych z cyberprzestępczością i codzienną pracą specjalistów ds. bezpieczeństwa można znaleźć w Dzienniku Analityków publikowanym w Encyklopedii Wirusów VirusList.pl prowadzonej przez Kaspersky Lab.

Źródło: Kaspersky Lab