La scorsa settimana un nuovo Trojan circolare su Facebook, infettando più di 110 000 gli utenti del social network in appena un paio di giorni. La diffusione Trojan etichettando amici della vittima in un post speciale che contiene un video richiamo. Secondo i ricercatori le truffe tag non sono nuovi, tuttavia il loro uso è aumentato di recente.
Aggressive Distribution Trojan
Il produttore dei programmi antivirus Bitdefender, una società con sede in Romania, ha pubblicato una analisi della scorsa settimana della truffa durante la quale oltre 20 persone di lista della vittima degli amici sono taggati in un post malevolo che cerca di attirare altre vittime. L'attacco a pochi giorni fa era così aggressivo che per meno di un'ora il numero delle vittime è aumentato a più di 5000 Gli utenti di Facebook.
Cliccando sul messaggio, l'utente è portato ad una pagina da cui vedere l'anteprima di un video per adulti. Quel video si interrompe dopo pochi secondi e lo spettatore è offerto di scaricare un file dannoso che finge di essere un aggiornamento di Flash Player, vedere il resto del materiale video. In quel momento il processo di download si avvia automaticamente.
Altre analisi simili sono stati scoperti e quindi il numero delle vittime sta aumentando. I criminali informatici responsabili degli attacchi Trojan si basano su un metodo di distribuzione aggressivo, detto “Magnete” dai ricercatori. Questo metodo permette di amici degli amici della vittima per vedere il posto e fare clic sul collegamento dannoso.
Questa è una nuova pratica come nei casi precedenti la vittima invierebbe all'esca di altri amici e solo quelli infetti offrirebbe ai loro contatti.
I criminali informatici provenienti dalla Turchia
Quando i ricercatori hanno ispezionato il malware, la loro analisi ha mostrato che il falso aggiornamento di Flash Player assomiglia a un insieme di file eseguibili trovati sul sistema che è compromessa. Questi file sono dai tipi wget.exe, chromium.exe, verclsid.exe, arsiv.ex a.
L'esperto Mohammad Reza Faghani dice che i guadagni di Troia controllo sulla tastiera e il mouse. La minaccia sarà ulteriormente ispezionata, in modo che l'intero danno del malware può essere rivelato e conosciuto per. Sul lato positivo, attualmente molti dei programmi antivirus sono stati in grado di rilevare il Trojan e prevenire la sua attività.
L'esperto di malware Mohammad Reza Faghani confermato che due dei domini che vengono contattati dalla Trojan sono stati registrati tre mesi fa, nel mese di ottobre 2014. L'IP di uno dei domini (filmver[.]con) punti alla rete Cloudflare, mentre il IP per l'altra (pornokan[.]con si basa su un server posizionate a Amsterdam. Entrambi i domini sono registrati dalla società turca FBS INC che fornisce servizi di registrazione di nomi di dominio.
Un altro dominio (Il videooizle[.]con) è stato anche trovato per ospitare i video maligni ed è anche associato con la rete Cloudflare. Questo dominio in particolare è stato registrato alcuni giorni fa, il che significa che i criminali informatici sono attive.
Secondo l'analisi della truffa con il Trojan, Bitdefender ha scoperto che i criminali informatici sono dalla Turchia, utilizzando “posteriore nero” come alias linea. Sembra che il tag truffe report provengono da un gruppo che utilizza più registrar e domini.