I sidste uge en ny trojansk rundsendt på Facebook, inficerer mere end 110 000 brugere af det sociale netværk på blot et par dage. Den trojanske spredning ved tagging venner af offeret i en særlig post, der indeholder et lokkemiddel video. Ifølge forskerne de tag svindel er ikke nye, men deres forbrug er steget for nylig.
Aggressiv Trojan Distribution
Producenten af antivirus programmer Bitdefender, en virksomhed baseret i Rumænien, har offentliggjort en analyse sidste uge af den fidus i hvilken mere end 20 folk fra venners liste over offeret er mærket i en ondsindet stilling, som forsøger at lokke andre ofre. Angrebet et par dage siden var så aggressiv, at for mindre end en time antallet af ofre steget til mere end 5000 Facebook-brugere.
Når du klikker på meddelelsen, brugeren til en side hvorfra at se et eksempel på en voksen video. Denne video er afbrudt lige efter et par sekunder og beskueren tilbydes at downloade en skadelig fil foregiver at være en Flash Player opdatering, at se resten af videomateriale. I det øjeblik download starter automatisk.
Andre lignende scanninger er også blevet opdaget og dermed antallet af ofre er stigende. De cyberkriminelle ansvarlige for den trojanske angreb påberåbe sig en aggressiv distributionsmetode, navngivet “Magnet” af forskerne. Denne metode giver venner af offerets venner til at se stillingen og klik på ondsindet link.
Det er en ny praksis som i de tidligere tilfælde offeret ville sende lokke til andre venner og kun de inficerede dem ville tilbyde det til deres kontakter.
Cyberkriminelle fra Tyrkiet
Når forskerne inspicerede malware, deres analyse viste, at Flash Player falske opdatering ligner et sæt eksekverbare filer fundet på det system, der er i fare. Disse filer er fra typerne wget.exe, chromium.exe, Verclsid.exe, arsiv.ex til.
Eksperten Mohammad Reza Faghani siger, at den trojanske får kontrol over tastaturet og musen. Truslen vil blive yderligere inspiceret, således at den fulde beskadigelse af malware kan afsløres og kendt for. På den lyse side, øjeblikket mange af antivirus programmer var i stand til at opdage den trojanske og for at forhindre dens aktivitet.
Den malware ekspert Mohammad Reza Faghani bekræftede, at to af de domæner, der er i kontakt med den trojanske blev registreret for tre måneder siden, i oktober 2014. IP et af domænerne (filmver[.]med) peger på CloudFlare nettet, mens IP til den anden (pornokan[.]med er baseret på en server placeret i Amsterdam. Begge domæner er registreret af det tyrkiske selskab FBS INC der giver domænenavne registrering tjenester.
En anden domæne (Den videooizle[.]med) viste sig også at være vært for ondsindede videoer, og det er også forbundet med netværket CloudFlare. Det domæne især er blevet registreret flere dage siden, hvilket betyder, at cyberkriminelle er aktive.
Ifølge analysen af den fidus med den trojanske, Bitdefender har fundet ud af, at de cyberkriminelle er fra Tyrkiet, hjælp “sort ryg” som online alias. Det ser ud til, at tag svindel rapporter kommer fra en gruppe, der bruger flere registratorer og domæner.