Instalacja trojana po kliknięciu "lubię to"

Ponownie scam na Facebooku - nie tak dawno pisaliśmy o podobnym przypadku wykorzystującym w niechlubny sposób dramat ludzki. Tym razem wykorzystano identyczne metody.

Jak informuje Bitdefender Labs, już ponad 1000 osób zostało zainfekowanych trojanem poprzez kliknięcie w "lubię to". Najczęstsze wystąpienia zakażeń zlokalizowano w Rumunii, Wielkiej Brytanii, Włoszech, Francji i w Niemczech. Sztuczka polegała na zwabieniu użytkowników i obejrzenia rzekomych filmów z udziałem nagich znajomych użytkownika.

Cyberprzestępcy w celu uniknięcia wykrycia wysyłali na pierwszy rzut oka różne wiadomości scam np. "nazwa_użytkownika prywatne wideo", "nazwa_użytkownika nago" czy też "nazwa_użytkownika prywatne wideo "XXX". Twórcy szkodliwego oprogramowania mogą również przekierować użytkownika do fałszywej strony, gdzie zostanie zainicjowana instalacja paska narzędzi, do zawartości fałszywego wideo lub pobrania konwertera w celu obejrzenia filmu.

Po kliknięciu w link z filmem nagiej znajomej, użytkownicy są przekierowywani na fałszywa witrynę YouTube, gdzie znajduje się informacja o nieaktualnej wersji "FlashPlayer.exe". Złośliwe oprogramowanie instaluje rozszerzenie do przeglądarki zdolne do kradzieży zdjęć z Facebooka a także potrafi publikować scam w Twoim imieniu.

Fałszywa strona YT

Aby zwiększyć skalę infekcji, cyberprzestępcy zastosowali kilka sztuczek:

  • malware jest w stanie zainstalować się na komputerze ofiary bez jej wiedzy, nie dając żadnych oznak zakażenia wirusem,
  • infekcja wywoływana jest poprzez kliknięcie w fałszywą aktualizację Adobe Flash Playera,
  • aby oszustwo jeszcze bardziej wiarygodne, cyberprzestępcy sfałszowali liczbę wyświetleń filmu - ponad 2 miliony (co widać na screenie powyżej)
  • aby dodać jeszcze odrobinę realizmu, twórcy szkodliwego oprogramowania zastrzegli, że film ma ograniczenia wiekowe
  • data uploadu filmu również może budzić zaufanie
Caption

Trojan ten jest wykrywany przez antywirusowe oprogramowanie Bitdefender pod nomenklaturą Trojan.GenericKD.1571215 jako Trojan.FakeFlash.A, natomiast fałszywy link do YouTube jest oznaczony jako próba oszustwa.

Dla zmaksymalizowania ochrony pod kątem scamu, phshingu i szkodliwej zawartości polecamy bezpłatną aplikację Bitdefender Safego, która ochroni Was na FB przed w/w oszustwami.

Artykuł ten jest oparty na informacjach technicznej dostarczonych dzięki uprzejmości Oktawiana Minea i Cosmin TARSICHI - Bitdefender Malware Researchers.



Learn more about our offer

If you sell security solutions, are a distributor, authorized partner or developer and would like to share your portfolio with a group of potential customers, advertise an event, software, hardware or other services on AVLab - simply write to us. Or maybe you had to deal with ransomware? We can also help you decrypt your files.
Read more

We use Google Cloud Translation and Gengo API’s to translate articles with exception of our comparative tests.