Vorige week een nieuwe Trojan verspreid op Facebook, meer dan infecteren 110 000 gebruikers van het sociale netwerk in slechts een paar dagen. De Trojan spread met labels vrienden van het slachtoffer in een speciaal bericht met daarin een lokmiddel video. Volgens de onderzoekers de tag scams zijn niet nieuw, Maar het gebruik ervan is onlangs toegenomen.
Agressieve Trojan Distribution
De producent van de antivirusprogramma's Bitdefender, een bedrijf gevestigd in Roemenië, heeft een analyse laatste week van de zwendel gepubliceerd waarin meer dan 20 mensen uit de lijst van het slachtoffer de vrienden 'worden gelabeld in een kwaadaardige functie die probeert om andere slachtoffers te lokken. De aanval een paar dagen geleden was zo agressief dat voor minder dan een uur van het aantal slachtoffers gestegen tot meer dan 5000 Facebook-gebruikers.
Bij het klikken op het bericht, wordt de gebruiker naar een pagina van waaruit u een voorbeeld van een volwassen video te zien. Die video is onderbroken net na een paar seconden en de kijker wordt aangeboden aan een kwaadaardig bestand downloaden doet alsof hij een Flash Player update zijn, de rest van het videomateriaal bekijken. Op dat moment begint het downloaden automatisch.
Andere soortgelijke scans zijn ook ontdekt en daarmee het aantal slachtoffers toeneemt. De cybercriminelen die verantwoordelijk is voor de Trojaanse aanvallen richten zich op een agressieve wijze van distributie, vernoemd “Magneet” door de onderzoekers. Deze methode maakt vrienden van vrienden van het slachtoffer om de post te zien en klik op de schadelijke koppeling.
Dat is een nieuwe praktijk in de eerdere gevallen het slachtoffer de verleiding zouden naar andere vrienden en alleen de geïnfecteerde cellen zou het aanbieden aan hun contacten.
Cybercriminelen uit Turkije
Toen de onderzoekers inspecteerde de malware, hun analyse bleek dat de Flash Player nep-update lijkt op een set van uitvoerbare bestanden op het systeem dat in het gedrang komt. Deze bestanden zijn van het type wget.exe, chromium.exe, Verclsid.exe, arsiv.ex aan.
De deskundige Mohammad Reza Faghani zegt dat de Trojan winsten controle over het toetsenbord en de muis. De dreiging zal verder worden geïnspecteerd, zodat de volledige beschadiging van de malware worden geopenbaard en bekend. Aan de andere kant, momenteel veel van de antivirusprogramma's in staat waren om de Trojan te detecteren en zijn activiteit te voorkomen.
De malware expert Mohammad Reza Faghani bevestigd dat twee van de domeinen die worden benaderd door het Trojaanse werden drie maanden geleden geregistreerd, in oktober 2014. De IP van een van de domeinen (filmver[.]met) wijst op de Cloudflare netwerk, terwijl de IP voor de andere (pornokan[.]met berust op een server gelegen in Amsterdam. Beide domeinen worden door de Turkse onderneming FBS INC die domeinnamen registratie diensten biedt geregistreerde.
Een ander domein (De videooizle[.]met) bleek ook de kwaadaardige video gastheer en is ook geassocieerd met het netwerk Cloudflare. Dat domein in het bijzonder is een paar dagen geleden geregistreerd, hetgeen betekent dat de cybercriminelen actief.
Volgens de analyse van de oplichting met Trojan, Bitdefender heeft ontdekt dat de cybercriminelen zijn uit Turkije, gebruik “zwarte rug” als de online alias. Het lijkt erop dat de tag oplichting meldingen komen uit de ene groep die gebruik maakt van meerdere registrars en domeinen.