Lažno email obaveštenje o suspenziji Facebook naloga vodi do malvera

Anti-spam, 05.02.2015, 09:00 AM

Lažna obaveštenja o privremenoj suspenziji Facebooka naloga ponovo stižu na email adrese korisnika širom sveta.

Sajber kriminalci su i ranije koristili ovaj mamac računajući sa tim da veliki broj korisnika interneta ima Facebook nalog i da bi one koji ga imaju ovakvo obaveštenje moglo interesovati.

Emailove potpisuje Facebook Team. Korisnik se obaveštava da je njegov nalog trenutno suspendovan zbog produženja ugovora korisnika sa društvenom mrežom u vezi uslova korišćenja servisa.

U emailu je link koji je skraćen uz pomoć Googleovog servisa goo.gl za skraćivanje linkova i on vodi do dokumenta u kome su navodno navedeni pomenuti uslovi. Fajl TermsPolicies.pdf.exe je hostovan na kompromitovanom web sajtu (assetdigitalmarketing.com). Fajl koji se preuzima ima dve ekstenzije, i ikonu PDF fajla, ali je zapravo reč o izvršnom fajlu. Taj fajl trenutno detektuje polovina antivirusa koje koristi VirusTotal.

Još jedna verzija istog emaila vodi do TermsPolicies.pdf.exe hostovana na http://ladiezspot.com, a Malwarebytes taj fajl detektuje kao kripto-ransomware CBTLocker (Critroni).

Ista grupa kriminalaca širi ovaj malver i preko emailova koje potpisuje Google Security Center a više detalja o tome možete naći na našem sajtu ovde.