Dziwny atak na Facebooku, który miał omijać polskich internautów

dodał 22 grudnia 2018 o 16:25 w kategorii Socjo, Złośniki  z tagami:
Dziwny atak na Facebooku, który miał omijać polskich internautów

Często opisujemy ataki wymierzone w Polaków. Rzadko zdarza się, by atak celowo Polaków omijał – ale właśnie na taki natrafiliśmy. Co ciekawe, prawdopodobnie autorem ataku jest Polak, jednak postanowił wymierzyć go w obcokrajowców.

Atak jest ciekawy jeszcze z jednego powodu – najwyraźniej jego autor znalazł sposób, aby przekonać ofiary do publikowania złośliwych wpisów na ich profilach Facebooka. Prawdopodobnie użył do tego celu sprytnej sztuczki technicznej.

Widać wszystko, ale nie do końca

Objawem ataku było wrzucenie przez ofiarę śmiesznego obrazka na swój profil Facebooka. Wyglądało to na przykład tak:

lub tak:

Obrazki były skonstruowane tak, by zachęcić do kliknięcia – na każdym brakowało najistotniejszego fragmentu, który miał być ujawniony po wejściu w link. Co ciekawe, wszystkie obrazki były opisane po francusku – i to bardzo poprawnym francuskim.

Co robi link

Link wyglądał na przykład tak:

lub tak

Potem następował ciąg przekierowań, wczytywania kolejnych ramek (IFRAME) i bardzo ciekawe fragmenty kodu. Jeden z nich wyglądał tak:

Ten kod sprawdza, czy osoba odwiedzająca stronę przychodzi z adresu IP znajdującego się w Polsce. Jeśli tak jest – zostaje przekierowana na nieistniejącą stronę

Nie da się ukryć, że treść adresu wskazuje na dobrą znajomość języka polskiego autora. W innych miejscach znaleźć można także na przykład adresy:

Również ich konstrukcja wskazuje na znajomość polskiego.

Niestety w trakcie naszej analizy mechanizmu działania ataku pliki zostały usunięte przez Amazona, przez co nie mogliśmy dokończyć badania. Na szczęście ktoś inny zdążył.

Clickjacking działa na FB?

Myśleliśmy, że ataki polegające na przejęciu kliknięcia przez ramkę umieszczoną nad lub pod widoczną stroną zostały już na Facebooku dawno wyeliminowane. Tymczasem wygląda na to, że nadal działają one w aplikacji FB na Androida. W ograniczonym zakresie, ale jednak. Opis metody ataku przedstawił autor bloga MalFind – polecamy lekturę jego wpisu.

Jednym z etapów „uzyskiwania dostępu” do śmiesznego obrazka było potwierdzenie, że skończyło się 16 lat. Prawdopodobnie kliknięcie w ten guzik w aplikacji na Androidzie powodowało automatyczne udostępnienie obrazka na profilu ofiary.

Skala ataku

Jak bardzo skuteczna była ta metoda ataku? Jeden z linków, na które przekierowywana była ofiara, wyglądał tak:

Umożliwia to zapoznanie się ze statystykami, a te robią wrażenie:

W ciągu około doby link odwiedziło 1,7 miliona użytkowników. 940 tysięcy pochodziło z Francji, 115 tysięcy z Belgii i 73 tysiące z Kanady. ZIdentyfikowaliśmy także drugi link:

Te statystyki także robią wrażenie. Wygląda zatem na to, że atak był bardzo udany.

Cel sprawcy

Niestety nie wiemy, jaki był ostateczny cel ataku. Prawdopodobnie użytkownik lądował na samym końcu scenariusza na jednej z witryn:

Strona wydaje się nieaktywna, natomiast działa nadal:

lecz jej treści w dużej mierze pobierane są z nieaktywnej domeny. Na pierwszy rzut oka wygląda na to, że atakujący zarabia na wizytach na jego witrynie i powiązanych z nimi wyświetleniach reklam. Nie mamy jednak 100% pewności. Autor ataku prawdopodobnie zarabia także na zakupach ofiar w serwisie g2a.com – w kodzie znajdował się fragment

który z kolei zawierał kod wczytujący link
dzięki któremu każdej osobie, która taką stronę odwiedzi, zapisywały się ciasteczka, dające potem prowizję użytkownikowi, który to ciastko zostawił.

Jeśli traficie w sieci na aktywny atak lub wiecie, co jeszcze działo się z komputerem lub kontem ofiary, dajcie znać.

PS. Strona atakująca internautów używa identyfikatora Google Analytics powiązanego z serwisami brecht.pl, skislem.pl oraz rire.press i viralz.win.

Aktualizacja: Z doniesień naszych Czytelników wynika, że skrypt, którego zadaniem było omijanie polskich adresów IP, nie funkcjonował zgodnie z oczekiwaniami twórcy, ponieważ wiele osób z Polski było ofiarami ataku.