Ja ir daudz Facebook draugu, ir lieliska iespēja viegli kļūt par slazdu, tiklīdz draugi noklikšķina uz kaut kā ļaunprātīga. Pirms kāda laika Kaspersky Lab eksperts Devids Jakobi (David Jacoby) Facebook saņēma ziņu no personas, ar kuru ļoti reti sarunājas, un saprata, ka notiek kaut kas aizdomīgs.
Caur Facebook Messenger izplatās jauna daudzplatformu ļaunprogrammatūra/reklāmprogrammatūra
Pētnieks bija analizējis ziņu vien dažas minūtes, kad saprata, ka skatās tikai uz aisberga virsotni. Šī ļaunprogrammatūra izplatījās caur Facebook Messenger, apkalpojot daudz platformu ļaunprogrammatūru/reklāmprogrammatūru, izmantojot neskaitāmus domēnus, lai nepieļautu izsekošanu, un pelnot klikšķus. Kods ir sarežģīts un neskaidrs.
Sākotnējais izplatīšanas mehānisms, šķiet, ir Facebook Messenger, taču joprojām nav zināms, kā tieši tas izplatās caur Messenger. Tas var būt no nozagtiem akreditācijas datiem, uzlauztiem pārlūkiem vai klikšķu pārtveršanas. Pašlaik mēs vēl nezinām, jo pētījums turpinās.
Ziņa izmanto tipisku sociālo inženieriju, lai rosinātu lietotāju noklikšķināt uz saites. Ziņā ir rakstīts «Dāvida video», kam seko bit.ly saite.
Šī saite norāda uz Google dokumentu. Dokuments jau ir uzņēmis upura Facebook lapas attēlu un izveidojis dinamisku mērķlapu, kas izskatās pēc skatāmas filmas. Kad upuris noklikšķina uz viltus skatāmās filmas, ļaunprogrammatūra viņu novirza uz vietņu kopumu, kas reģistrē viņa pārlūku, operētājsistēmu un citu svarīgu informāciju. Atkarībā no operētājsistēmas viņš tiek novirzīts uz citām vietnēm.
Šī metode nav jauna, un tai ir daudz nosaukumu. Kaspersky Lab eksperti to raksturotu kā domēnu ķēdi, būtībā ĻOTI DAUDZ tīmekļa vietņu dažādos domēnos, kas novirza lietotāju atkarībā no dažiem raksturlielumiem. Tie var būt valoda, ģeogrāfiskā atrašanās vieta, pārlūka informācija, operētājsistēma, instalētie spraudņi un sīkdatnes.
Tādējādi tā galvenokārt virza pārlūku cauri tīmekļa vietņu kopumam un, izmantojot izsekošanas sīkdatnes, uzrauga jūsu darbības, parāda jums noteiktas reklāmas un dažkārt pat ar sociālās inženierijas paņemieniem liek noklikšķināt uz saitēm.
Mēs visi zinām, ka nav ieteicams noklikšķināt uz nezināmām saitēm, taču ar šīs metodes palīdzību viņi var likt jums to izdarīt.
Pētījuma laikā Devids pamanīja, ka, ja tiek nomainīta lietotāja aģenta galvene (pārlūka informācija), ļaunprogrammatūra novirza uz atšķirīgām mērķlapām. Piemēram, izmantojot Firefox, lietotājs tika novirzīts uz vietni ar viltus Flash atjauninājuma paziņojumu un pēc tam viņam tika piedāvāta Windows izpildāmā datne. Izpildāmā datne bija atzīmēta kā reklāmprogrammatūra.
Kad eksperts izmantoja pārlūku Google Chrome, es tiku novirzīts uz tīmekļa vietni, kas atdarina YouTube izkārtojumu, pat ietverot YouTube logotipu. Pēc tam tīmekļa vietne parāda viltus kļūdas paziņojumu, rosinot lietotāju no Google interneta veikala lejupielādēt ļaunprātīgu Google Chrome paplašinājumu.
Šis Chrome paplašinājums ir lejupielādētājs, kas nozīmē, ka tas datorā lejupielādē datni. Kad eksperts veica šo izpēti, datne, kuru vajadzēja lejupielādēt, nebija pieejama. Interesants atklājums bija tas, ka šim Chrome paplašinājumam bija izstrādātāju žurnāldatnes ar lietotājvārdiem. Nav skaidrs, vai tas ir saistīts ar kampaņu, taču tā katrā ziņā ir amizanta informācija.
Kad eksperts izmantoja OSX pārlūku Safari, tas nonāca līdzīgā tīmekļa vietnē, uz kādu tiku novirzīts, izmantojot Firefox, taču šī bija pielāgota OSX lietotājiem. Tas bija viltus Flash Media Player atjauninājums, un, kad noklikšķināja uz saites, tika lejupielādēta izpildāmā .dmg datne. Arī šī datne bija reklāmprogrammatūra.
Ir jau pagājis kāds laiks, kopš eksperts pamanīja šīs reklāmprogrammatūras kampaņas, kas izmanto Facebook. Samērā oriģināli, ka tās izmanto arī Google Docs ar pielāgotām mērķlapām. Cik eksperts novērojis, netiek lejupielādētas īstas ļaunprogrammatūras (Trojas zirgi, mūķi), taču rīkotāji, visticamāk, pelna lielu naudu no reklāmām un iegūst piekļuvi ļoti daudziem Facebook kontiem.