Na semana passada um novo Trojan circulou no Facebook, infectando mais do que 110 000 os usuários da rede social em apenas um par de dias. O spread Trojan por marcação amigos da vítima em um post especial que contém um vídeo atração. Segundo os pesquisadores os golpes tag não são novos, porém seu uso tem aumentado recentemente.
Distribuição Trojan Agressivo
O produtor dos programas antivírus Bitdefender, uma empresa com sede na Roménia, publicou uma análise última semana do golpe durante o qual mais de 20 pessoas da lista da vítima dos amigos são marcados em um post malicioso que está tentando atrair outras vítimas. O ataque de alguns dias atrás era tão agressivo que por menos de uma hora, o número de vítimas aumentou para mais de 5000 Os usuários do Facebook.
Ao clicar na mensagem, o usuário é levado a uma página de onde para ver uma pré-visualização de um adulto vídeo. Esse vídeo é interrompida logo após alguns segundos e o espectador é oferecido para baixar um arquivo malicioso que finge ser uma atualização do Flash Player, ver o resto do material de vídeo. Naquele momento, o processo de download é iniciado automaticamente.
Outras análises semelhantes também foram descobertos e, consequentemente, o número de vítimas está aumentando. Os cibercriminosos responsáveis pelos ataques de Tróia contar com um método de distribuição agressiva, nomeado “Ímã” pelos pesquisadores. Este método permite que os amigos dos amigos da vítima para ver o post e clicar no link malicioso.
Essa é uma nova prática como nos casos anteriores a vítima iria enviar o chamariz para outros amigos e apenas os infectados seria oferecê-lo aos seus contatos.
Os cibercriminosos da Turquia
Quando os pesquisadores inspecionado o malware, A análise mostrou que a falsa atualização do Flash Player se assemelha a um conjunto de arquivos executáveis encontrado no sistema que está comprometida. Estes ficheiros são dos tipos wget.exe, chromium.exe, Verclsid.exe, arsiv.ex para.
O especialista Mohammad Reza Faghani diz que os ganhos de Tróia controle sobre o teclado eo mouse. A ameaça será ainda inspecionado, de modo que o dano total do malware pode ser revelado e conhecido por. Pelo lado positivo, Atualmente muitos dos programas antivírus conseguiram detectar o cavalo de Tróia e de impedir a sua atividade.
O especialista em malwares Mohammad Reza Faghani confirmou que dois dos domínios que são contactados pela Trojan foram registrados há três meses, em Outubro 2014. O IP de um dos domínios (filmver[.]com) aponta para a rede Cloudflare, enquanto o IP para a outra (pornokan[.]com baseia-se num servidor posicionado em Amsterdão. Ambos os domínios são registrados pela empresa turca FBS INC que fornece serviços de registro de nomes de domínio.
Outro domínio (O videooizle[.]com) também foi encontrada para sediar os vídeos maliciosos e também está associada com a rede Cloudflare. Esse domínio, em particular, tem sido registrado há vários dias, o que significa que os cibercriminosos estão ativos.
De acordo com a análise do esquema com o cavalo de Tróia, Bitdefender descobriu que os criminosos são da Turquia, utilização “parte traseira do preto” como o alias on-line. Parece que a etiqueta golpes relatórios provenientes de um grupo que é o uso de vários agentes de registo e domínios.