Δευτέρα, 23 Οκτώβριος 2017, 11:08 πμ

Στην περιέργεια των χρηστών στοχεύει κακόβουλο λογισμικό κρυμμένο σε tags στο Facebook

1-1024x692

Πάνω από 5 χιλιάδες υπολογιστές μολύνθηκαν από κακόβουλο λογισμικό που κυκλοφόρησε μέσω των επισημάνσεων (tags) χρηστών στη δημοφιλή ιστοσελίδα Facebook. Η πρόσφατη «επίθεση» διάρκειας τριών ημερών που εξαπέλυσαν οι ψηφιακοί εγκληματίες είχε ως στόχο της χρήστες της ιστοσελίδας, οι οποίοι, από περιέργεια, θα κλίκαραν σε υποτιθέμενα βίντεο με «πονηρό» περιεχόμενο.

Πως γίνεται η «επίθεση»;

Οι χρήστες του Facebook βλέπουν στον τοίχο τους μια δημοσίευση, που μοιάζει πολύ με βίντεο, όπου ένας από τους φίλους του – και άλλοι 19 χρήστες, όχι απαραίτητα φίλοι του – έχουν επισημανθεί με tag. Το screenshot του βίντεο παραπέμπει σε μάλλον «πικάντικες» εικόνες, ώστε να πεισθούν όσοι βλέπουν τη δημοσίευση να κάνουν κλικ πάνω της. Όμως, η δημοσίευση δεν περιέχει κάποιο link προς βίντεο, αλλά ένα συντομευμένο URL, τύπου goo.gl (βλ. εικόνα πάνω).

Οι χρήστες που κλικάρουν στο αντίστοιχο βίντεο ανακατευθύνονται σε μια άλλη ιστοσελίδα, όπου οι hackers προχωρούν σε καταγραφή του browser και του λειτουργικού συστήματος που χρησιμοποιεί ο κάθε χρήστης και ακολούθως τους ανακατευθύνουν ανάλογα. Γιατί, άλλωστε, τι νόημα θα είχε ένας χρήστης Android να ανακατευθυνθεί σε ιστότοπο που περιέχει malware για Windows;

Η λίστα με τα πιθανά λειτουργικά συστήματα του χρήστη είναι εκτενέστατη και περιλαμβάνει για παράδειγμα αυτά των Android φορητών συσκευών, των Playstation, των έξυπνων τηλεοράσεων, των έξυπνων αυτοκινήτων, αλλά και τηλεφώνων παλαιότερης τεχνολογίας. Αν ο χρήστης περιηγείται μέσω κάποιας συσκευής περιορισμένης αλληλεπίδρασης, τότε ανακατευθύνεται σε απάτες με μηνύματα SMS μέσω πενταψήφιων αριθμών υψηλών χρεώσεων. Οι hackers μπορούν να παρακολουθήσουν αφενός πόσοι χρήστες επισκέφθηκαν τις σελίδες και αφετέρου πόσοι χρήστες πείσθηκαν να στείλουν μηνύματα ή γενικότερα εξαπατήθηκαν.

user-agent-check-1024x227

Για τους χρήστες των Windows, βέβαια, η κατάσταση είναι κάπως πιο περίπλοκη, και ο κίνδυνος μεγαλύτερος. Στις οθόνες των χρηστών προβάλλεται ένα μήνυμα όπου καλούνται να «κατεβάσουν» μια προσθήκη του Flash Player, για να παίξει σωστά το «πικάντικο» βίντεο.

facebook-video-censored-e1422229303485Προφανώς, το αρχείο εγκατάστασης του Flash Player δεν έχει καμία απολύτως σχέση με το… Flash Player. Πρόκειται για αρχείο τύπου SFX, ένα self-extracting εκτελέσιμο αρχείο του WinRar. Μόλις ο χρήστης κάνει κλικ στο «πακέτο», τότε στον υπολογιστή του θα εγκατασταθούν αυτόματα δύο αρχεία με κακόβουλο κώδικα: το install.exe (που έχει αναγνωριστεί ως Gen:Variant.Graftor.172986) και το setup.exe (που έχει αναγνωριστεί ως Gen:Variant.Symmi.49919). Το πρώτο χρησιμεύει στην εγκατάσταση επιπλέον πακέτων κακόβουλου λογισμικού, ενώ το δεύτερο χρησιμεύει στη διάδοση του scam μέσω των λογαριασμών των θυμάτων.

Πίσω από τρεις διαφορετικές παραλλαγές του κακόβουλου λογισμικού εντοπίσαμε το ίδιο άτομο: έναν Τούρκο χρήστη με το ψευδώνυμο «schwarzback».

Παρακάτω φαίνονται οι πληροφορίες για τον κατοχυρωτή του domain όπου φιλοξενείται το κακόβουλο λογισμικό.

whois-domain

Πως να προστατευτείτε;

Πρώτη και κύρια μέθοδος προστασίας είναι η εγκατάσταση και χρήση antimalware και antivirus. Δεύτερη μέθοδος προστασίας είναι η προσεκτικότερη περιήγηση στο διαδίκτυο. Συγκεκριμένα, μην κάνετε κλικ σε ένα σύνδεσμο που έχει δημοσιεύσει ένας φίλος / μια φίλη σας και που σας φαίνεται ασυνήθιστο post για τις συνήθειες του / της. Η περιέργεια, λένε, σκότωσε τη γάτα. Τέλος, από τις ρυθμίσεις του Facebook, επιλέξτε να ελέγχετε – εγκρίνετε τις δημοσιεύσεις όπου κάποιος χρήστης σας έχει επισημάνει (σας έχει κάνει tag), ώστε να μη μεταδώσετε άθελά σας κακόβουλο λογισμικό.

Δείτε επίσης:

Η δημοσίευση περιεχομένου και πληροφοριών στο Facebook είναι κάτι που μας αφορά όλους.

Κοινοποίηση περιεχομένου και πληροφοριών στο Facebook

Η δημοσίευση περιεχομένου και πληροφοριών στο Facebook είναι κάτι που μας αφορά όλους. Μια δήλωση …