I forrige uke en ny trojansk sirkulert på Facebook, infisere mer enn 110 000 brukere av det sosiale nettverket i løpet av et par dager. Den trojanske spredning av tagging venner av offeret i en spesiell post som inneholder en lokke video. Ifølge forskerne tag svindel er ikke ny, men deres bruk har økt den siste tiden.
Aggressiv Trojan Distribution
Produsenten av antivirusprogrammer Bitdefender, et selskap basert i Romania, har publisert en analyse i forrige uke av svindel der mer enn 20 folk fra venner 'liste over offeret er tagget i et ondsinnet innlegg som prøver å lokke andre ofre. Angrepet et par dager siden var så aggressiv at for mindre enn en time antall ofre økt til mer enn 5000 Facebook-brukere.
Ved å klikke på meldingen, brukeren blir tatt til en side hvorfra å se en forhåndsvisning av en voksen video. At Videoen avbrytes bare etter noen få sekunder og betrakteren blir tilbudt å laste ned en ondsinnet fil utgir seg for å være en Flash Player-oppdatering, for å se resten av videomaterialet. I det øyeblikket nedlastingen starter automatisk.
Andre lignende skanninger har også blitt oppdaget og dermed antall ofre øker. De nettkriminelle er ansvarlige for de trojanske angrep stole på en aggressiv distribusjonsmetode, navngitt “Magnet” av forskerne. Denne metoden gjør det mulig for venner av offerets venner for å se innlegget og klikk på skadelig kobling.
Det er en ny praksis som i de tidligere tilfellene offeret ville sende lokke til andre venner og bare de infiserte de ville tilby det til sine kontakter.
Cyberkriminelle fra Tyrkia
Når forskerne inspisert malware, deres analyse viste at Flash Player falsk oppdatering ligner et sett av kjørbare filer som finnes på systemet som er kompromittert. Disse filene er fra de typene wget.exe, chromium.exe, Verclsid.exe, arsiv.ex til.
Eksperten Mohammad Reza Faghani sier at den trojanske får kontroll over tastaturet og musen. Trusselen vil bli videre undersøkt, slik at full skade av malware kan bli avslørt og kjent for. På den lyse siden, i dag mange av antivirusprogrammer var i stand til å oppdage den trojanske og for å hindre sin aktivitet.
Malware ekspert Mohammad Reza Faghani bekreftet at to av de domener som er i kontakt med den trojanske ble registrert tre måneder siden, i oktober 2014. IP av ett av domenene (filmver[.]med) peker på CloudFlare nettverk, mens IP for den annen (pornokan[.]med er basert på en server plassert i Amsterdam. Begge domenene er registrert av det tyrkiske selskapet FBS INC som gir registrerings domenenavn tjenester.
Et annet domene (Den videooizle[.]med) Det ble også funnet å være vert for den skadelige video og det er også assosiert med nettverket Cloudflare. Det domenet i særdeleshet har blitt registrert flere dager siden, som betyr at de er aktive webkriminelle.
Ifølge analysen av svindel med den trojanske, Bitdefender har funnet ut at nettkriminelle er fra Tyrkia, hjelp “svart tilbake” som online alias. Det virker som den tag svindel rapportene kommer fra en gruppe som bruker flere registrarer og domener.