Новая кросс-платформенная вредоносная программа для Windows/Mac/Linux, распространяющаяся через Facebook Messenger
Одна из кибер-преступных группировок использует Facebook Messenger для распространения образцов новой вредоносной программы с помощью ссылок на сайты-двойники. Эта угроза, которая является очень сложной и кастомизированной для каждого веб-браузера, была обнаружена экспертом по безопасности, который получил подозрительное сообщение от одного из своих друзей в Facebook и решил проанализировать его содержимое.
Как работает вредоносная программа
Механизм атаки относительно прост. Жертва получает сообщение Facebook, которое содержит имя получателя, слово «video» и смайлик с изображением шокированного состояния вместе с сокращенным URL. Так как сообщение приходит от одного из друзей жертвы, то очень высока вероятность, что жертва нажмет на данную ссылку для просмотра ее содержимого. Вредоносная ссылка открывает документ Google, содержащий размытую картинку из Facebook жертвы и выглядящий как проигрываемый фильм. Затем, если жертва пытается воспроизвести видео, вредоносная программа отправляет его на один из многочисленных различных сайтов в зависимости от его веб-браузера, операционной системы, местоположения и других критериев. Этот сайт затем установит пользователю вредоносную программу.
Пользователи Google Chrome, например, перенаправляются на поддельный канал YouTube, который содержит официальный логотип и другие атрибуты. Этот сайт показывает пользователю ложное сообщение об ошибке, созданное для того, чтобы обманным путем заставить его загрузить вредоносное расширение для Chrome. Впрочем, пользователи Firefox отправляются на веб-сайт, отображающий поддельное уведомление об обновлении Flash, которое после запуска пытается запустить исполняемый файл под Windows для установки рекламного ПО. Наконец, пользователи Safari перенаправляются на аналогичный сайт, разработанный для macOS, который также обманным путем заставляет жертву загрузить вредоносный файл с расширением .dmg.
Очень сложная и комплексная атака
Такой тип вредоносных программ предназначен для отслеживания веб-активности жертвы с использованием куков и отображения таргетированных рекламных объявлений, но он также использует и социальную инженерию, чтобы обманным путем заставить пользователей кликнуть. Вредоносная программа способна распространяться на различных платформах через Facebook Messenger.
Вредоносный код очень сложный и запутанный, и исследователи предполагают, что вредоносные ссылки отправляются с реальных аккаунтов Messenger, которые были взломаны в результаты кражи паролей, взлома браузеров или использования техник кликджекинга. Каждый клик в рекламном объявлении генерирует доход для авторов вредоносной программы, и даже если о данной вредоносной кампании и теми, кто стоит за ней, известно относительно мало, то огромное количество пользователей Facebook Messenger дает злоумышленникам доступ к очень большому числу потенциальных жертв.
Как защитить себя от вредоносных программ
Один простой способ, чтобы не стать жертвой данной аферы, - это быть крайне осторожным в отношении любых ссылок, которые вы получаете от своих друзей в Facebook. Для большей безопасности эксперты рекомендуют использовать надежный и обновленный антивирус, чтобы защитить свою систему с помощью лучших технологий защиты. В дополнение к этому, представитель Facebook подтвердил, что компания поддерживает целый ряд автоматизированных систем, которые помогают остановить распространение подозрительных ссылок через сайт социальной сети.
