La semaine dernière, un nouveau cheval de Troie diffusé sur Facebook, infecter plus 110 000 les utilisateurs du réseau social en seulement quelques jours. La propagation de Troie par les amis de marquage de la victime dans un poste spécial contenant une vidéo leurre. Selon les chercheurs le tag escroqueries ne sont pas nouvelles, mais leur utilisation a augmenté récemment.
Répartition de Troie agressive
Le producteur des programmes antivirus Bitdefender, une société basée en Roumanie, a publié une analyse la semaine dernière de l'escroquerie au cours de laquelle plus de 20 personnes de la liste de la victime des amis sont marqués dans un poste malveillant qui cherche à attirer d'autres victimes. L'attaque il ya quelques jours était tellement agressive que, pour moins d'une heure le nombre de victimes a augmenté à plus de 5000 Les utilisateurs de Facebook.
En cliquant sur le message, l'utilisateur est redirigé vers une page d'où pour voir un aperçu d'une vidéo pour adultes. Cette vidéo est interrompu juste après quelques secondes et le spectateur est offert pour télécharger un fichier malveillant se faisant passer pour une mise à jour Flash Player, voir le reste du matériau de vidéo. A ce moment, le processus de téléchargement démarre automatiquement.
Autres analyses similaires ont également été découverts et donc le nombre des victimes est de plus en plus. Les cybercriminels responsables des attaques de Troie se appuient sur une méthode de distribution agressive, nommé “Aimant” par les chercheurs. Cette méthode permet des amis des amis de la victime pour voir le poste et cliquez sur le lien malveillant.
Ce est une nouvelle pratique comme dans les cas précédents, la victime serait envoyer le leurre à d'autres amis et seulement ceux infectés serait offrir à leurs contacts.
Les cybercriminels de Turquie
Lorsque les chercheurs ont inspecté le malware, leur analyse a montré que le faux mise à jour Flash Player ressemble à un ensemble de fichiers exécutables trouvé sur le système qui est compromise. Ces fichiers sont des types wget.exe, chromium.exe, Verclsid.exe, arsiv.ex à.
L'expert Mohammad Reza Faghani dit que les gains de Troie contrôle sur le clavier et la souris. La menace sera encore inspecté, de sorte que les dommages complète du malware peut être révélé et connu pour. Sur le côté positif, actuellement la plupart des programmes antivirus étaient en mesure de détecter le cheval de Troie et d'empêcher son activité.
L'expert malware Mohammad Reza Faghani confirmé que deux des domaines qui sont contactés par le cheval de Troie a été enregistré il ya trois mois, en Octobre 2014. L'adresse IP de l'un des domaines (filmver[.]avec) des points au réseau Cloudflare, tandis que l'IP pour l'autre (pornokan[.]avec est basé sur un serveur positionné dans Amsterdam. Les deux domaines sont enregistrés par la société turque FBS INC qui fournit des services d'enregistrement des noms de domaine.
Un autre domaine (Le videooizle[.]avec) a également été trouvé pour accueillir les vidéos malveillants et il est également associé avec le réseau Cloudflare. Ce domaine en particulier, a été enregistré il ya plusieurs jours, ce qui signifie que les cybercriminels sont actifs.
Selon l'analyse de l'escroquerie avec le cheval de Troie, Bitdefender a découvert que les cybercriminels sont de la Turquie, aide “dos noir” comme alias ligne. Il semble que la balise escroqueries rapports viennent d'un groupe qui utilise plusieurs registraires et de domaines.