26.06.2016 | 16:33

Adam Haertle

Uwaga na niebezpiecznego konia trojańskiego krążącego po Facebooku

Jeśli zobaczysz, że ktoś „wspomniał o Tobie w komentarzu” lub wysłał Ci dziwnego linka w wiadomości, nie klikaj. A jeśli klikniesz, nie pobieraj pliku. A jeśli pobierzesz, nie uruchamiaj – chyba że chcesz, by Twoje pliki zostały zaszyfrowane.

Dzisiaj przed południem otrzymaliśmy falę zgłoszeń dotyczących nowego sposobu dystrybucji ransomware. Złośliwy program wykorzystuje powiązania swoich ofiar w sieci społecznościowej by infekować kolejne komputery z gdy już prześle się do wszystkich znajomych to szyfruje dysk ofiary.

Oryginalna kampania

Autorom kampanii trzeba przyznać, że postarali się zrobić coś ciekawszego niż tylko załączniki do wiadomości poczty elektronicznej „od PGE”. Tym razem wirus przybywa w dwóch formach – jest to albo powiadomienie o oznaczeniu w komentarzu, albo wiadomość bezpośrednia. Pierwszy etap ataku wygląda tak:

Złośliwe powiadomienie

Złośliwe powiadomienie

Lub tak:

Złośliwa wiadomość

Złośliwa wiadomość

Co się stanie gdy klikniesz

O ile w przypadku linku w wiadomości sprawa jest oczywista – trafisz na stronę umieszczoną w serwisie Google Drive, o tyle nie do końca wiemy, jaki mechanizm sprawia, że prosto z powiadomienia o komentarzu można wylądować w tym samym miejscu – być może atakujący wykorzystuje jakąś funkcję przekierowania w ramach Facebooka. W obu przypadkach wczytanie linku z Google Drive powoduje pobranie pliku comment_xxxxxxx.jse, zawierającego zaciemniony kod JavaScript. Jego wykonanie spowoduje uruchomienie kolejnego etapu infekcji.

Złośliwy JavaScript (tu wyczyszczony kod) powoduje pobranie serii plików z serwera http://userexperiencestatics.net oraz ich zapisanie na dysku i uruchomienie. Pliki udają obrazki, ale tak naprawdę są kolejnymi skryptami JS oraz AutoIt oraz mechanizmem  uruchomienia AutoIt.  Po wykonaniu tej fazy infekcji jeśli ejsteś zalogowany do Facebooka to złośliwe programy zaczynają rozsyłać linki do Twoich znajomych. Gdy skończą, pobierają program typu ransomware, który następnie przystępuje do szyfrowania Twoich plików.

Reakcja Facebooka

Choć pierwsze zgłoszenie mieliśmy ok. 10:30, to Facebook dopiero przed chwilą (ok. godziny 16) zaczął blokować złośliwe linki. Budzi nasze nieustające zdumienie, że firma o takim potencjale możliwości tak słabo radzi sobie ze wszelkiego rodzaju oszustwami i atakami wykorzystującymi jego platformę i zaufanie, jakim darzą go użytkownicy.

Aktualizacja 17:00

Dzięki małemu śledztwu udało się nam uzyskać dostęp do statystyk ataku. Przeciętnie w ciągu godziny infekowanych jest ok. 1200 użytkowników:

Średnia infekcji wg godzin

Średnia infekcji wg godzin

Atak zaczął się ok. 3 dni temu a obecnie osiąga maksimum:

Statystyki dobowe

Statystyki dobowe

Polska nie jest jedyna na liście infekowanych krajów:

Mapa ataku

Mapa ataku

Aktualizacja 17:45

Inne domeny powiązane z podobnymi atakami to:

pingpusher.pw
statscounter.top
corneliuspettus.com
friendsmu.com

Ten sam koń trojański znany jest od co najmniej kwietnia 2015, kiedy to identyczne pliki zidentyfikowano jako część złośliwego oprogramowania. Z kolei w kwietniu 2016 ostrzegał przed nim czeski CERT rządowy, a np. w maju opisał go Dr Web.

Aktualizacja 21:00

Elementem procesu infekcji jest plik EXE zatem problem w obserwowanym przez nas scenariuszu dotyka tylko użytkowników systemów Windows. Możliwe jest jednak, że podobne zagrożenie będzie w stanie zaatakować również platformy takie jak Linux / Android/ MacOS zatem ostrożność zalecamy każdemu internaucie.

Bardzo dziękujemy wszystkim Czytelnikom którzy podesłali nam informacje: Kacprowi, Andrzejowi, Michałowi, Krystianowi, Witkowi, Marcinowi i Tomkowi.

Powrót

Komentarze

  • 2016.06.26 16:39 dzek

    >Budzi nasze nieustające zdumienie, że firma o takim potencjale możliwości tak słabo radzi sobie ze wszelkiego rodzaju oszustwami i atakami wykorzystującymi jego platformę i zaufanie, jakim darzą go użytkownicy.

    A weźcie, tyle lat to gówno istnieje, a dalej nie potrafią skutecznie ochronić się przed wklejanym w kółko na grupy spamem typu „Sprawdź ile siedziałeś na Facebooku” czy „… kto oglądał Twój profil”, albo inne „wyprzedaże komornicze, tv za 10zł”.

    Odpowiedz
    • 2016.06.26 20:39 Meg

      o to to! Tyle tych spamerskich grup powstaje, ludzie je zgłaszają a FB dalej nic nie robi… Podobnie z fałszywymi stronami i kontami, niektóre tylko poblokowali, a reszta nadal rozsiewa ten syf.

      Odpowiedz
  • 2016.06.26 16:58 KM

    Jakieś info jaki może być wplyw na Androida?

    Odpowiedz
    • 2016.06.26 17:29 Adam

      Taki jak każde wykonanie na Androidzie niezaufanego pliku EXE.

      Odpowiedz
      • 2016.06.26 20:02 Koxito

        Like it ;)

        Odpowiedz
  • 2016.06.26 19:46 hehe

    Utwórz stronę -> Utwórz Iframe tab dla fanpage z js z przekierowaniem na dowolną stronę -> Link do utworzonego tabsa wrzucić w comment plugin udostępniony na fb developers -> komentuj i oznaczaj na pluginie.

    Ludzie dostają powiadomienie i lecą dalej :)

    Skrypt do oznaczania 50 znajomych lata po internetach od lat, konta z phishingu.

    Odpowiedz
  • 2016.06.26 20:19 ksenia

    W tekscie zero informacji o tym jakie systemy sa zagrozone. Windows, Linux, Android, OsX???

    Odpowiedz
    • 2016.06.26 21:27 Lork

      Zapewne wszystkie :P

      Odpowiedz
    • 2016.06.27 07:06 henryk

      … czytanie ze zrozumieniem nie boli.

      Odpowiedz
  • 2016.06.26 20:49 Laverne

    Te statystyki to raczej nie ilosc zainfekowanych tylko wizyt na strone

    Odpowiedz
    • 2016.06.26 21:04 Adam

      Każde uruchomienie infekującego skryptu generuje wizytę na stronie której dotyczą statystyki.

      Odpowiedz
      • 2016.06.26 21:21 Laverne

        Mozesz dodac linka do artykulu?

        Odpowiedz
  • 2016.06.26 22:05 Laverne Odpowiedz
  • 2016.06.27 02:11 e

    Może głupie pytanie, ale jaka aplikacja pozwala na wykonanie pliku JS tak żeby ten dalej mógł uruchamiać EXEki w ramach systemu operacyjnego?

    Odpowiedz
    • 2016.06.27 12:18 k6t

      wydaje mi się, że ten kod wykona się tylko w IE

      Odpowiedz
  • 2016.06.27 09:00 Radioactive

    Jak można sprawdzić, czy złapalo się to na Androida? Po otworzeniu tej strony bardzo szybko ją zamknęłam, nie wiem, czy w tym wypadku miałam jakieś szanse złapania tego syfu na telefon?

    Odpowiedz
    • 2016.06.27 09:07 Adam

      Nic się nie stało

      Odpowiedz
  • 2016.06.27 10:14 there is

    There is no AutoIt for non-Windows systems. If you don’t have wine, no AutoIt script can harm you.

    Odpowiedz
  • 2016.06.27 17:55 Dejv

    Stiv juz w

    Odpowiedz
  • 2016.06.27 17:58 Dejv

    Stiv juz w dawno mówił by przestać uzywać java tylko inne technologie.
    Pośmiertna prawda.
    Java to gówno FB powinnien odrazu zmienić jezyk pisania w tydzien ty wszedł nowy layout gdyby tylko chcieli.

    PS.Ja mam smartfon i nie jestem zagozony raczej nie.

    Odpowiedz
  • 2016.06.27 18:01 POMYSL

    mam apk.Facebok ale i tak teraz zrobie blokade wsopominania o mnie i przypinania mnie do zdj !

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Uwaga na niebezpiecznego konia trojańskiego krążącego po Facebooku

Komentarze