בשבוע שעבר טרויאני חדש שהופץ בפייסבוק, להדביק יותר 110 000 משתמשי הרשת החברתית רק כמה ימים. ההתפשטות טרויאני על ידי חברי תיוג של הקורבן ב פוסט מיוחד המכילה וידאו פתיון. לדברי חוקרי הונאות התג אינן חדשות, אולם השימוש בהם גדל לאחרונה.
הפצה טרויאני אגרסיבית
המפיק של תוכנות אנטי וירוס BitDefender, חברה שבסיסה רומניה, פרסם ניתוח בשבוע האחרון של ההונאה שבמהלכה יותר 20 אנשים מן לרשימת החברים של הקורבן מתויגים פוסט זדוני שמנסה לפתות קורבנות אחרים. ההתקפה לפני כמה ימים הייתה כל כך אגרסיבית כי עבור פחות משעה מספר הקורבנות גדל ליותר מ 5000 משתמשי פייסבוק.
בעת לחיצה על ההודעה, המשתמש מועבר לדף מֵאֵין כדי לראות תצוגה מקדימה של וידאו למבוגרים. הסרטון הזה נקטע רק אחרי כמה שניות ואת הצופה מוצע להוריד קובץ זדוני המתחזה עדכון נגן פלאש, כדי לראות את שאר החומר וידאו. ברגע שתהליך ההורדה מופעל באופן אוטומטי.
סריקות דומות אחרות גם התגלו ובכך הגיע מספר הקורבנות גדל. פושעי הסייבר האחראית לפיגועים טרויאני להסתמך על שיטת הפצה אגרסיבית, בשם “מגנט” על ידי החוקרים. שיטה זו מאפשרת חברים של חברים של הקורבן כדי לראות את הפוסט לחץ על הקישור הזדוני.
זוהי פרקטיקה חדשה כמו במקרים הקודמים הקורבן ישלח פיתוי לחברים אחרים ורק אלה הנגועים יציעו אותו לאנשי הקשר שלהם.
ופושעי אינטרנט מטורקיה
כאשר החוקרים בחנו את התוכנה הזדונית, הניתוח שלהם הראה כי עדכון נגן פלאש מזויף דומה סט של קבצי הפעלה נמצא במערכת כי נפגעה. קבצים אלה הם מן הסוגים wget.exe, chromium.exe, Verclsid.exe, arsiv.ex כדי.
המומחה מוחמד רזא Faghani אומר כי רווחי טרויאני שליטה על המקלדת והעכבר. האיום ייבדק עוד, כך שהנזק מלא של תוכנות זדוניות יכול להיות גלוי וידוע עבור. בצד הטוב, כיום רבים של תוכנות אנטי וירוס הצליחו לזהות את הטרויאני ולמנוע את פעילותה.
מומחה הזדוניות מוחמד רזא Faghani אשר כי שני התחומים אשר פנו ידי טרויאני נרשמו לפני שלושה חודשים, באוקטובר 2014. כתובת ה- IP של אחד התחומים (filmver[.]עם) מצביע לרשת Cloudflare, בעוד IP עבור אחרים (pornokan[.]עם מבוסס על שרת הממוקם באמסטרדם. שני הדומיינים שנרשמו על ידי החברה הטורקית INC FBS המספקת שירותי רישום שמות דומיין.
תחום נוסף (videooizleyin[.]עם) עוד נמצא לארח את קטעי וידאו הזדוניים והיא גם קשורה לרשת Cloudflare. תחום זה בפרט נרשם לפני מספר ימים, כלומר ופושעי אינטרנט פעילים.
על פי הניתוח של ההונאה עם טרויאני, BitDefender גילה כי פושעי סייבר הם מטורקיה, באמצעות “בחזרה שחור” ככינוי באינטרנט. נראה כי תג הונאות דיווחים מגיעים בקבוצה אחת שנמצא באמצעות רשמים מרובים תחומים.