Cyberprzestępcy przygotowują się do Walentynek

Po kliknięciu komunikatu użytkownicy zostają przekierowani na kolejną stronę, namawiającą ich do instalacji wspomnianego motywu. Należy zauważyć, że ten rodzaj ataku pojawia się tylko na przeglądarkach Google Chrome i Mozilla Firefox. Kliknięcie przycisku Instaluj na tej stronie rozpocznie ściąganie szkodliwego pliku, FacebookChrome.crx identyfikowanego przez Trend Micro jako TROJ FOOKBACE.A. Po uruchomieniu, TROJ_FOOKBACE.A uruchamia skrypt, który wyświetla reklamy z określonych stron. Program instaluje się również na używanej przeglądarce jako rozszerzenie o nazwie Facebook Improvement |Facebook.com.

Po zainstalowaniu w przeglądarce złośliwe rozszerzenie rozpocznie śledzenie aktywności użytkowników w sieci i przekieruje ich na stronę z zapytaniem, która poprosi ich o numer telefonu komórkowego. Użytkownicy przeglądarki Internet Explorer (IE) zostaną przekierowani na stronę z zapytaniem zaraz po kliknięciu komunikatu na ścianie, bez proszenia o ściąganie jakiegokolwiek pliku.

Po głębszej analizie eksperci ds. zagrożeń z firmy Trend Micro doszli do wniosku, że atak jest znacznie skuteczniejszy w przypadku użytkowników przeglądarek Google Chrome lub Mozilla Firefox. Przypomina instalację zwykłego rozszerzenia, wymagając tym samym mniejszego stopnia interakcji niż w przypadku Internet Explorera (kiedy użytkownik zostaje przekierowany na stronę z zapytaniem).

Skuteczność ataku opiera się na udawaniu zwyczajnej wtyczki dla Chrome, można więc założyć, że to użytkownicy tej przeglądarki są główną grupą docelową oszustwa, a przekierowanie na IE jest raczej późniejszym dodatkiem. Natomiast pomimo obecności funkcji śledzenia aktywności w sieci, TROJ_FOOKBACE.A wydaje się nie być wyposażony w żadne narzędzia do kradzieży danych. Wpasowuje się raczej w kategorię ataku typu "clickjacking", doprowadzając do automatycznego "polubienia" kilku stron na Facebooku oraz automatycznego umieszczenia komunikatu na ścianie użytkownika.

"To, że atak jest skupiony na przeglądarkach Chrome i Firefox może znaczyć, że cyberprzestępcy wzięli na celownik przeglądarki obsługujące rozszerzenia, a także te, które cieszą się większą popularnością. Co prawda nie jest to pierwszy atak tego typu, lecz biorąc pod uwagę fakt, że przeglądarki z rozszerzeniami wychodzą obecnie na prowadzenie, może być on ostrzeżeniem dla nas wszystkich: możemy mieć do czynienia z początkiem trendu, za którym cyberprzestępcy podążą w niedalekiej przyszłości" - mówi Filip Demianiuk z Trend Micro.

Warto pamiętać o tym, że cyberprzestępcy bardzo chętnie wykorzystują zainteresowanie internautów popularnymi w danym momencie tematami. Możemy być pewni, że motywy walentynkowe zostaną przez nich wykorzystane do przeprowadzenia kolejnych ataków - warto więc tradycyjnie zachować zdrowy rozsądek.