I förra veckan en ny trojan cirkulerat på Facebook, infecting mer än 110 000 användare av sociala nätverk på bara ett par dagar. Den trojanska spridningen genom att tagga vänner till offret i en särskild post som innehåller ett lockbete video. Enligt forskarna taggen bedrägerier är inte ny, men deras användning har ökat på senare tid.
Aggressiv Trojan Distribution
Producenten av antivirusprogram Bitdefender, ett företag baserat i Rumänien, har publicerat en analys sista veckan i bluff då mer än 20 människor från vänners lista över offret är taggade i en illvillig inlägg som försöker lura andra offer. Attacken för några dagar sedan var så aggressiv att för mindre än en timme antalet offer ökat till mer än 5000 Facebook-användare.
När du klickar på meddelandet, användaren till en sida varifrån att se en förhandsvisning av en vuxen video. Det video avbryts bara efter några sekunder och betraktaren erbjuds att ladda ner en skadlig fil som låtsas vara en Flash Player uppdatering, för att se resten av videomaterial. I det ögonblicket börjar nedladdningen automatiskt.
Andra liknande skannar har också upptäckts och därmed antalet offer ökar. De cyberbrottslingar som är ansvariga för de trojanska attacker förlitar sig på en aggressiv distributionsmetod, som heter “Magnet” av forskarna. Denna metod tillåter vänner av offrets vänner för att se inlägget och klicka på skadlig länk.
Det är en ny praxis som i de tidigare fallen offret skulle skicka lure till andra vänner och endast de infekterade som skulle erbjuda det till sina kontakter.
Cyberbrottslingar från Turkiet
När forskarna granskade malware, sin analys visade att Flash Player falska uppdatering liknar en uppsättning av körbara filer som finns på det system som äventyras. Dessa filer är från de typer wget.exe, chromium.exe, Verclsid.exe, arsiv.ex till.
Experten Mohammad Reza Faghani säger att trojanska vinster kontroll över tangentbordet och musen. Hotet kommer att ytterligare inspekteras, så att hela skador på skadlig kod kan avslöjas och känd för. På den ljusa sidan, närvarande många av antivirusprogram kunde upptäcka den trojanska och för att förhindra dess aktivitet.
Den skadliga program expert Mohammad Reza Faghani bekräftade att två av de domäner som är i kontakt med den trojanska registrerades tre månader sedan, i oktober 2014. Undersökningsperioden för en av domänerna (filmver[.]med) pekar på CloudFlare nätverket, medan IP för den andra (pornokan[.]med är baserad på en server placerad i Amsterdam. Båda domäner registreras av det turkiska bolaget FBS INC som tillhandahåller domännamn registreringstjänster.
en annan domän (videooizleyin[.]med) konstaterades också att vara värd för skadliga filmer och det är också förknippat med nätverket CloudFlare. Domänen i synnerhet har registrerats flera dagar sedan, vilket innebär att Brottslingar är aktiva.
Enligt analysen av bluff med trojanska, Bitdefender har funnit att de cyberbrottslingar är från Turkiet, använder sig av “svart baksida” som online alias. Det verkar som om taggen bedrägerier rapporter kommer från en grupp som använder flera ombud och domäner.