25. augusts, 2017

Caur ''Facebook Messenger'' izplatās jauna daudzplatformu ļaunprogrammatūra

Ja ir daudz Facebook draugu, ir lieliska iespēja viegli kļūt par slazdu, tiklīdz draugi noklikšķina uz kaut kā ļaunprātīga. Pirms kāda laika Kaspersky Lab eksperts Devids Jakobi (David Jacoby) Facebook saņēma ziņu no personas, ar kuru ļoti reti sarunājas, un saprata, ka notiek kaut kas aizdomīgs.

Pētnieks bija analizējis ziņu vien dažas minūtes, kad saprata, ka skatās tikai uz aisberga virsotni. Šī ļaunprogrammatūra izplatījās caur Facebook , apkalpojot daudz platformu ļaunprogrammatūru/reklāmprogrammatūru, izmantojot neskaitāmus domēnus, lai nepieļautu izsekošanu, un pelnot klikšķus. Kods ir sarežģīts un neskaidrs.
Sākotnējais izplatīšanas mehānisms, šķiet, ir Facebook , taču joprojām nav zināms, kā tieši tas izplatās caur . Tas var būt no nozagtiem akreditācijas datiem, uzlauztiem pārlūkiem vai klikšķu pārtveršanas. Pašlaik mēs vēl nezinām, jo pētījums turpinās.
Ziņa izmanto tipisku sociālo inženieriju, lai rosinātu lietotāju noklikšķināt uz saites. Ziņā ir rakstīts «Dāvida video», kam seko bit.ly saite.
Šī saite norāda uz dokumentu. Dokuments jau ir uzņēmis upura Facebook lapas attēlu un izveidojis dinamisku mērķlapu, kas izskatās pēc skatāmas filmas. Kad upuris noklikšķina uz viltus skatāmās filmas, ļaunprogrammatūra viņu novirza uz vietņu kopumu, kas reģistrē viņa pārlūku, operētājsistēmu un citu svarīgu informāciju. Atkarībā no operētājsistēmas viņš tiek novirzīts uz citām vietnēm.
Šī metode nav jauna, un tai ir daudz nosaukumu. Kaspersky Lab eksperti to raksturotu kā domēnu ķēdi, būtībā ĻOTI DAUDZ tīmekļa vietņu dažādos domēnos, kas novirza lietotāju atkarībā no dažiem raksturlielumiem. Tie var būt valoda, ģeogrāfiskā atrašanās vieta, pārlūka informācija, operētājsistēma, instalētie spraudņi un sīkdatnes.
Tādējādi tā galvenokārt virza pārlūku cauri tīmekļa vietņu kopumam un, izmantojot izsekošanas sīkdatnes, uzrauga jūsu darbības, parāda jums noteiktas reklāmas un dažkārt pat ar sociālās inženierijas paņemieniem liek noklikšķināt uz saitēm.
Mēs visi zinām, ka nav ieteicams noklikšķināt uz nezināmām saitēm, taču ar šīs metodes palīdzību viņi var likt jums to izdarīt.
Pētījuma laikā Devids pamanīja, ka, ja tiek nomainīta lietotāja aģenta galvene (pārlūka informācija), ļaunprogrammatūra novirza uz atšķirīgām mērķlapām. Piemēram, izmantojot Firefox, lietotājs tika novirzīts uz vietni ar viltus Flash atjauninājuma paziņojumu un pēc tam viņam tika piedāvāta Windows izpildāmā datne. Izpildāmā datne bija atzīmēta kā reklāmprogrammatūra.
Kad eksperts izmantoja pārlūku Chrome, tiku novirzīts uz tīmekļa vietni, kas atdarina izkārtojumu, pat ietverot logotipu. Pēc tam tīmekļa vietne parāda viltus kļūdas paziņojumu, rosinot lietotāju no interneta veikala lejupielādēt ļaunprātīgu Google Chrome paplašinājumu.
Šis Chrome paplašinājums ir lejupielādētājs, kas nozīmē, ka tas datorā lejupielādē datni. Kad eksperts veica šo izpēti, datne, kuru vajadzēja lejupielādēt, nebija pieejama. Interesants bija tas, ka šim Chrome paplašinājumam bija izstrādātāju žurnāldatnes ar lietotājvārdiem. Nav skaidrs, vai tas ir saistīts ar kampaņu, taču tā katrā ziņā ir amizanta informācija.
Kad eksperts izmantoja OSX pārlūku Safari, tas nonāca līdzīgā tīmekļa vietnē, uz kādu tiku novirzīts, izmantojot Firefox, taču šī bija pielāgota OSX lietotājiem. Tas bija viltus Flash Media Player atjauninājums, un, kad noklikšķināja uz saites, tika lejupielādēta izpildāmā .dmg datne. Arī šī datne bija reklāmprogrammatūra.
Ir jau pagājis kāds laiks, kopš eksperts pamanīja šīs reklāmprogrammatūras kampaņas, kas izmanto Facebook. Samērā oriģināli, ka tās izmanto arī Google Docs ar pielāgotām mērķlapām. Cik eksperts novērojis, netiek lejupielādētas īstas ļaunprogrammatūras (Trojas zirgi, mūķi), taču rīkotāji, visticamāk, pelna lielu naudu no reklāmām un iegūst piekļuvi ļoti daudziem Facebook kontiem.
Kaspersky Lab eksperti iesaka lietotājiem būt vērīgiem, neklikšķināt uz šīm saitēm un obligāti atjaunināt drošības risinājumus!

Padalies ar šo ziņu sociālajos tīklos

Jānis Alksnis

Esmu moderno tehnoloģiju entuziasts ar ilggadēju un plašu pieredzi dažādās informāciju tehnoloģiju jomās, ar savu skatījumu uz lietu kārtību.

Spiediet šeit, lai atstātu komentāru

Vieta komentāram


Piedāvātais serviss ietver diskusijas un komentārus, kas atļauj mijiedarboties lietotājiem. Vietnes autors nekontrolē ziņojumus, informāciju un failus, kas tiek piegādāti ziņojumu dēlim. Lietojot šo servisu Jūs piekrītiet sekojošiem noteikumiem:

  • Jūs nedrīkstat traucēt citus lietotājus, saskaņā ar LR civillikumu.
  • Aizliegts nosūtīt, publicēt jebkāda veida nelikumīgu, draudošu, aizskarošu, apmelojošu, neslavu ceļošu, neķītru, vulgāru, pornogrāfisku, zaimojošu un piedauzīga rakstura informāciju t.s. bildes.
  • Jūs nedrīkstiet nosūtīt, publicēt informāciju, programmas vai jebkāda veida materiālus, kas aizsargāti ar LR likumu par autortiesībām.
  • Aizliegts nosūtīt, publicēt datus, kas var saturēt datorvīrusus vai arī datus, kas var saturēt kaitīgas komponentes.
  • Jūs nedrīkstiet nosūtīt, publicēt materiālus, kuriem ir komerciāls raksturs, ja tā nav iepriekš saskaņota ar vietnes autoru.
  • Vietnes autors neatbild par rakstu komentāru saturu un aicina lasītājus būt tolerantiem, iztikt bez rupjībām un saglabāt elementāras pieklājības normas.
  • Vietnes komentāros ir aizliegta jebkāda veida politiskā reklāma un aģitācija. Šī noteikuma neievērošanas gadījumā var tikt liegta iespēja pievienot komentāru uz nenoteiktu laiku.

Noteikumu neievērošanas gadījumā:

  • Bloga autors patur tiesības dzēst lasītāja komentārus un liegt pieeju blogam, kā arī bloga autors patur tiesības izmantot komentāru saturu pēc saviem ieskatiem.

Ja netiek ievēroti augstāk minētie lietotāju noteikumi, tiek uzskatīts, ka ir pārkāptas autora tiesības un atkarībā no pārkāpuma rakstura vai sekām pārkāpējs saucams pie likumā noteiktās administratīvās vai kriminālās atbildības.

lvLatviešu valoda