Jeśli zobaczysz, że ktoś „wspomniał o Tobie w komentarzu” lub wysłał Ci dziwnego linka w wiadomości, nie klikaj. A jeśli klikniesz, nie pobieraj pliku. A jeśli pobierzesz, nie uruchamiaj – chyba że chcesz, by Twoje pliki zostały zaszyfrowane.
Dzisiaj przed południem otrzymaliśmy falę zgłoszeń dotyczących nowego sposobu dystrybucji ransomware. Złośliwy program wykorzystuje powiązania swoich ofiar w sieci społecznościowej by infekować kolejne komputery z gdy już prześle się do wszystkich znajomych to szyfruje dysk ofiary.
Oryginalna kampania
Autorom kampanii trzeba przyznać, że postarali się zrobić coś ciekawszego niż tylko załączniki do wiadomości poczty elektronicznej „od PGE”. Tym razem wirus przybywa w dwóch formach – jest to albo powiadomienie o oznaczeniu w komentarzu, albo wiadomość bezpośrednia. Pierwszy etap ataku wygląda tak:
Złośliwe powiadomienie
Lub tak:
Złośliwa wiadomość
Co się stanie gdy klikniesz
O ile w przypadku linku w wiadomości sprawa jest oczywista – trafisz na stronę umieszczoną w serwisie Google Drive, o tyle nie do końca wiemy, jaki mechanizm sprawia, że prosto z powiadomienia o komentarzu można wylądować w tym samym miejscu – być może atakujący wykorzystuje jakąś funkcję przekierowania w ramach Facebooka. W obu przypadkach wczytanie linku z Google Drive powoduje pobranie pliku comment_xxxxxxx.jse, zawierającego zaciemniony kod JavaScript. Jego wykonanie spowoduje uruchomienie kolejnego etapu infekcji.
Złośliwy JavaScript (tu wyczyszczony kod) powoduje pobranie serii plików z serwera http://userexperiencestatics.net oraz ich zapisanie na dysku i uruchomienie. Pliki udają obrazki, ale tak naprawdę są kolejnymi skryptami JS oraz AutoIt oraz mechanizmem uruchomienia AutoIt. Po wykonaniu tej fazy infekcji jeśli ejsteś zalogowany do Facebooka to złośliwe programy zaczynają rozsyłać linki do Twoich znajomych. Gdy skończą, pobierają program typu ransomware, który następnie przystępuje do szyfrowania Twoich plików.
Reakcja Facebooka
Choć pierwsze zgłoszenie mieliśmy ok. 10:30, to Facebook dopiero przed chwilą (ok. godziny 16) zaczął blokować złośliwe linki. Budzi nasze nieustające zdumienie, że firma o takim potencjale możliwości tak słabo radzi sobie ze wszelkiego rodzaju oszustwami i atakami wykorzystującymi jego platformę i zaufanie, jakim darzą go użytkownicy.
Aktualizacja 17:00
Dzięki małemu śledztwu udało się nam uzyskać dostęp do statystyk ataku. Przeciętnie w ciągu godziny infekowanych jest ok. 1200 użytkowników:
Średnia infekcji wg godzin
Atak zaczął się ok. 3 dni temu a obecnie osiąga maksimum:
Statystyki dobowe
Polska nie jest jedyna na liście infekowanych krajów:
Mapa ataku
Aktualizacja 17:45
Inne domeny powiązane z podobnymi atakami to:
pingpusher.pw statscounter.top corneliuspettus.com friendsmu.com
Ten sam koń trojański znany jest od co najmniej kwietnia 2015, kiedy to identyczne pliki zidentyfikowano jako część złośliwego oprogramowania. Z kolei w kwietniu 2016 ostrzegał przed nim czeski CERT rządowy, a np. w maju opisał go Dr Web.
Aktualizacja 21:00
Elementem procesu infekcji jest plik EXE zatem problem w obserwowanym przez nas scenariuszu dotyka tylko użytkowników systemów Windows. Możliwe jest jednak, że podobne zagrożenie będzie w stanie zaatakować również platformy takie jak Linux / Android/ MacOS zatem ostrożność zalecamy każdemu internaucie.
Bardzo dziękujemy wszystkim Czytelnikom którzy podesłali nam informacje: Kacprowi, Andrzejowi, Michałowi, Krystianowi, Witkowi, Marcinowi i Tomkowi.
Komentarze
>Budzi nasze nieustające zdumienie, że firma o takim potencjale możliwości tak słabo radzi sobie ze wszelkiego rodzaju oszustwami i atakami wykorzystującymi jego platformę i zaufanie, jakim darzą go użytkownicy.
A weźcie, tyle lat to gówno istnieje, a dalej nie potrafią skutecznie ochronić się przed wklejanym w kółko na grupy spamem typu „Sprawdź ile siedziałeś na Facebooku” czy „… kto oglądał Twój profil”, albo inne „wyprzedaże komornicze, tv za 10zł”.
o to to! Tyle tych spamerskich grup powstaje, ludzie je zgłaszają a FB dalej nic nie robi… Podobnie z fałszywymi stronami i kontami, niektóre tylko poblokowali, a reszta nadal rozsiewa ten syf.
Jakieś info jaki może być wplyw na Androida?
Taki jak każde wykonanie na Androidzie niezaufanego pliku EXE.
Like it ;)
Utwórz stronę -> Utwórz Iframe tab dla fanpage z js z przekierowaniem na dowolną stronę -> Link do utworzonego tabsa wrzucić w comment plugin udostępniony na fb developers -> komentuj i oznaczaj na pluginie.
Ludzie dostają powiadomienie i lecą dalej :)
Skrypt do oznaczania 50 znajomych lata po internetach od lat, konta z phishingu.
W tekscie zero informacji o tym jakie systemy sa zagrozone. Windows, Linux, Android, OsX???
Zapewne wszystkie :P
… czytanie ze zrozumieniem nie boli.
Te statystyki to raczej nie ilosc zainfekowanych tylko wizyt na strone
Każde uruchomienie infekującego skryptu generuje wizytę na stronie której dotyczą statystyki.
Mozesz dodac linka do artykulu?
Link ze statystykami
http://whos.amung.us/stats/history/pingjse3462
Może głupie pytanie, ale jaka aplikacja pozwala na wykonanie pliku JS tak żeby ten dalej mógł uruchamiać EXEki w ramach systemu operacyjnego?
wydaje mi się, że ten kod wykona się tylko w IE
Jak można sprawdzić, czy złapalo się to na Androida? Po otworzeniu tej strony bardzo szybko ją zamknęłam, nie wiem, czy w tym wypadku miałam jakieś szanse złapania tego syfu na telefon?
Nic się nie stało
There is no AutoIt for non-Windows systems. If you don’t have wine, no AutoIt script can harm you.
Stiv juz w
Stiv juz w dawno mówił by przestać uzywać java tylko inne technologie.
Pośmiertna prawda.
Java to gówno FB powinnien odrazu zmienić jezyk pisania w tydzien ty wszedł nowy layout gdyby tylko chcieli.
PS.Ja mam smartfon i nie jestem zagozony raczej nie.
mam apk.Facebok ale i tak teraz zrobie blokade wsopominania o mnie i przypinania mnie do zdj !