Nova kampanja širenja virusa korišćenjem Facebook Messenger-a

David Jacoby, istraživač iz Kaspersky Lab otkrio je nove napade za koje se vjeruje da su dio masovne kampanje širenja adware virusa.

Jacoby je na svom blogu objavio izvještaj u kome navodi da je riječ on naprednoj kampanji sa obfuskovanim sadržajem koja koristi veliki broj domena kako bi se onemogućio pronalazak napadača.

Napadači koriste Facebook Messenger u kome se javljaju žrtvi sa porukom da se žrtvin video nalazi na bit.ly linku.

Link vodi ka Google Docs stranici na kojoj se nalazi slika žrtvinog foto albuma sa Facebook-a. Preko slike se nalazi providno play dugme koje izgleda kao da se koristi za reprodukciju videa.

Jacoby kaže da korišćenje Facebook Messenger-a nije nova vijest, ali ga iznenađuje korišćenje Google Docs-a za kreiranje unikatnog mamca za korisnika.

Klikom na dugme žrtva se ubacuje u tzv. domain chain (lanac domena) u kome se preusmjerava preko više veb stranica napravljenih za praćenje ili plasiranje reklama.

Lanac u koji se žrtva ubacuje zavisi od vrste operativnog sistema i vrste veb čitača. Istraživači su ispitali više slučajeva. Kada su koristili Firefox na Windows-u lanac ih je eventualno proslijedio na veb stranicu koja je plasirala adware prerušen u lažno ažuriranje za Flash Player. Korišćenje OS X-a dovelo ih je na stranicu sa istim adware-om prerušenim u .dmg datoteku, dok je korišćenje Chrome-a vodilo na stranicu sa malicioznom ekstenzijom.

Do sada nisu zabilježeni slučajevi plasiranja trojanaca ili drugih virusa.

Trenutno nije poznato ko stoji iza ove kampanje, ali Frank Rosen, istraživač iz kompanije Detectify, tvrdi da tragovi vode na iste napadače koji su odgovorni za preuzimanje više Chrome ekstenzija. Kao dokaz on je objavio uzorak malicioznog koda koji je ubačen od strane ekstenzije.

Izvor:threatpost.com