Uwaga na niebezpiecznego konia trojańskiego krążącego po Facebooku

dodał 26 czerwca 2016 o 16:33 w kategorii Złośniki  z tagami:
Uwaga na niebezpiecznego konia trojańskiego krążącego po Facebooku

Jeśli zobaczysz, że ktoś „wspomniał o Tobie w komentarzu” lub wysłał Ci dziwnego linka w wiadomości, nie klikaj. A jeśli klikniesz, nie pobieraj pliku. A jeśli pobierzesz, nie uruchamiaj – chyba że chcesz, by Twoje pliki zostały zaszyfrowane.

Dzisiaj przed południem otrzymaliśmy falę zgłoszeń dotyczących nowego sposobu dystrybucji ransomware. Złośliwy program wykorzystuje powiązania swoich ofiar w sieci społecznościowej by infekować kolejne komputery z gdy już prześle się do wszystkich znajomych to szyfruje dysk ofiary.

Oryginalna kampania

Autorom kampanii trzeba przyznać, że postarali się zrobić coś ciekawszego niż tylko załączniki do wiadomości poczty elektronicznej „od PGE”. Tym razem wirus przybywa w dwóch formach – jest to albo powiadomienie o oznaczeniu w komentarzu, albo wiadomość bezpośrednia. Pierwszy etap ataku wygląda tak:

Złośliwe powiadomienie

Złośliwe powiadomienie

Lub tak:

Złośliwa wiadomość

Złośliwa wiadomość

Co się stanie gdy klikniesz

O ile w przypadku linku w wiadomości sprawa jest oczywista – trafisz na stronę umieszczoną w serwisie Google Drive, o tyle nie do końca wiemy, jaki mechanizm sprawia, że prosto z powiadomienia o komentarzu można wylądować w tym samym miejscu – być może atakujący wykorzystuje jakąś funkcję przekierowania w ramach Facebooka. W obu przypadkach wczytanie linku z Google Drive powoduje pobranie pliku comment_xxxxxxx.jse, zawierającego zaciemniony kod JavaScript. Jego wykonanie spowoduje uruchomienie kolejnego etapu infekcji.

Złośliwy JavaScript (tu wyczyszczony kod) powoduje pobranie serii plików z serwera http://userexperiencestatics.net oraz ich zapisanie na dysku i uruchomienie. Pliki udają obrazki, ale tak naprawdę są kolejnymi skryptami JS oraz AutoIt oraz mechanizmem  uruchomienia AutoIt.  Po wykonaniu tej fazy infekcji jeśli ejsteś zalogowany do Facebooka to złośliwe programy zaczynają rozsyłać linki do Twoich znajomych. Gdy skończą, pobierają program typu ransomware, który następnie przystępuje do szyfrowania Twoich plików.

Reakcja Facebooka

Choć pierwsze zgłoszenie mieliśmy ok. 10:30, to Facebook dopiero przed chwilą (ok. godziny 16) zaczął blokować złośliwe linki. Budzi nasze nieustające zdumienie, że firma o takim potencjale możliwości tak słabo radzi sobie ze wszelkiego rodzaju oszustwami i atakami wykorzystującymi jego platformę i zaufanie, jakim darzą go użytkownicy.

Aktualizacja 17:00

Dzięki małemu śledztwu udało się nam uzyskać dostęp do statystyk ataku. Przeciętnie w ciągu godziny infekowanych jest ok. 1200 użytkowników:

Średnia infekcji wg godzin

Średnia infekcji wg godzin

Atak zaczął się ok. 3 dni temu a obecnie osiąga maksimum:

Statystyki dobowe

Statystyki dobowe

Polska nie jest jedyna na liście infekowanych krajów:

Mapa ataku

Mapa ataku

Aktualizacja 17:45

Inne domeny powiązane z podobnymi atakami to:

pingpusher.pw
statscounter.top
corneliuspettus.com
friendsmu.com

Ten sam koń trojański znany jest od co najmniej kwietnia 2015, kiedy to identyczne pliki zidentyfikowano jako część złośliwego oprogramowania. Z kolei w kwietniu 2016 ostrzegał przed nim czeski CERT rządowy, a np. w maju opisał go Dr Web.

Aktualizacja 21:00

Elementem procesu infekcji jest plik EXE zatem problem w obserwowanym przez nas scenariuszu dotyka tylko użytkowników systemów Windows. Możliwe jest jednak, że podobne zagrożenie będzie w stanie zaatakować również platformy takie jak Linux / Android/ MacOS zatem ostrożność zalecamy każdemu internaucie.

Bardzo dziękujemy wszystkim Czytelnikom którzy podesłali nam informacje: Kacprowi, Andrzejowi, Michałowi, Krystianowi, Witkowi, Marcinowi i Tomkowi.