Spameri koriste Facebook Messenger za širenje malvera Nemucod i ransomwarea Locky

Opisi virusa, 23.11.2016, 01:30 AM

Ako od bilo kog prijatelja na Facebooku dobijete poruku sa slikom, tačnije sa .SVG image fajlom, nemojte kliknuti na nju.

U toku je spam kampanja koja širi malver downloader među korisnicima Facebooka koristeći kao mamac naizgled bezazleni fajl na koji oni treba da kliknu i tako inficiraju svoje računare.

Ako kliknu, rezultat će biti infekcija računara ozloglašenim ransomwareom Locky, koji je veoma popularan među sajber kriminalcima.

Spam kampanju je primetio istraživač Bart Blejz. Hakeri koriste Facebook Messenger da bi širili malver downloader Nemucod u formi .SVG image fajla.

Hakeri su izabrali .SVG image fajl za širenje malvera jer SVG može da sadrži sadržaj kao što je JavaScript i može da bude otvoren u modernim browserima.

U ovom slučaju SVG fajl sadrži JavaScript kod koji je ustvari link za eksterni fajl.

Ako korisnik klikne, maliciozni fajl će ga preusmeriti na web sajt koji izgleda kao YouTube, ali koji ima potpuno drugačiji URL.

Na sajtu se prikazuje pop up prozor u kome se od korisnika traži da preuzme i instalira određenu ekstenziju u Chromeu da bi mogao da gleda video. Maliciozna ekstenzija ima dva imena - Ubo i One.

Kada se instalira, ekstenzija omogućava hakerima da menjaju podatke u vezi web sajtova koje korisnik posećuje, ali i da iskoriste pristup browsera Facebook nalogu da bi poslali poruku svim Facebook prijateljima koja sadrži isti SVG image fajl.

Ali ono što je još gore je da Nemucod downloader u nekim slučajevima preuzima ransomware Locky na računare žrtava.

Locky je jedan od najpopularnijih ransomwarea među sajber kriminalcima koji šifruje sve fajlove na računaru sa RSA-2048 i AES-1024 enkripcijskim algoritmom. Žrtvi fajlovi mogu biti vraćeni tek onda kada plati otkupninu koju traže napadači.

Još uvek se ne zna kako su SVG fajlovi uspeli da izbegnu filter Facebooka koji ustvari predstavlja belu listu dozvoljenih ekstenzija. I Googleov i Facebookov tim za bezbednost obavešteni su o ovom napadu.

Google je već uklonio maliciozne ekstenzije iz Chrome prodavnice.

Iz Facebooka kažu da njihovi automatizovani sistemi sprečavaju pojavu štetnih linkova i fajlova na Facebooku, kao i da su ovi na koje je upozorio Blejz već blokirani. Iz kompanije su rekli da ovi linkovi nisu širili Locky, već pomenute dve ekstenzije za Chrome, kao i da je Facebook već prijavio Googleu sporne ekstenzije.

U kompaniji smatraju da je ovaj napad imao veoma ograničene domete u pogledu broja inficiranih korisnika, jer je bilo neophodno da korisnici sami instaliraju softver u browseru žrtve ili računaru.

Ako ste jedan od prevarenih koji su instalirali neku od ove dve ekstenzije, možete je ukloniti u Menu →More Tools → Extensions.

A ako vam je računar zaražen Lockyjem jedino rešenje za povratak fajlova je backup - ako ga imate.

Na kraju, Blejz vam savetuje da budete oprezni kada vam neko pošalje sliku, posebno ako znate da to nije uobičajeno ponašanje za njega.