Nu a trecut nici măcar o săptămână de când ESET a avertizat utilizatorii din toată lumea în legătură cu o campanie în desfășurare de înșelare a oamenilor cu ochelari Ray-Ban reduși pe Facebook, care păcălește utilizatorii, trimițând detaliile cardului cu care se efectuează plata către atacatori.

Acum, vorbim despre un o altă activitate malițioasă care vizează cea mai largă rețea de socializare din întreaga lume. Link-urile malițioase sunt deghizate sub forma unei postări pe timeline unde sunteți etichetați sau a unui mesaj trimis pe Messenger de către un prieten. Apelând la unul din titlurile  “My video”, “My video”, “Private video” sau un șir de caractere generate în mod aleatoriu, se folosește tag-ul a diferiți oameni din lista de prieteni ai victimei, care sunt atrași să acceseze acest link.

Figura 1 – Link al unui video malițios cu etichetarea prietenilor

Dacă un utilizator neavizat cade pradă acestui tip de înșelătorie, postarea îl redirecționează către un site fals Youtube. După ce utilizatorul crede că a fost doar o încercare nereușită de încărcare a conținutului, acestuia i se cere să instaleze o extensie suplimentară, folosind următorul mesaj:

Ne pare rău, dacă nu aveți instalat plugin-ul Video Play, nu veți putea urmări filmarea!                                                 Apăsați ‘Adăugați Extensia’ pentru a-l putea viziona

În cazul în care victima instalează plugin-ul malițios, browser-ul va deveni infectat și poate aduce de la sine infiltrări viitoare de cod malware. Așa cum este descris mai sus, pagina principală de Facebook se umple cu postări de filmări false de acest tip, cu tag-ul mai multor prieteni din lista victimei. Ulterior, toți prietenii online vor primi un mesaj identic prin messenger cu același conținut dăunător.

ESET a detectat această amenințare drept JS/Kilim.SO și JS/Kilim.RG. În acest moment, infiltrarea acestei escrocherii vizează numai utilizatorii de Chrome, dar nu există nici o garanție că nu se va răspândi în viitor si la celelalte browsere.

Figura 2 – Link-uri cu video malițios trimise către prieteni

Cum funcționează?

După apăsarea pe “Adăugați Extensia” pe site-ul YouTube fals, codul malițios instalează un plugin troian (cu un conținut de cod malițios Java) în interiorul browser-ului Chrome. Acesta este deghizat sub forma unui plugin obișnuit de genul “Make a GIF”, dar vine din partea unui dezvoltator diferit - denumit “freechatfor.org”.

Figura 3 – Redirecționarea link-ului pentru video

Versiunea infectată a aplicației vine cu o funcționalitate malițioasă suplimentară, permițând infectarea conturilor Facebook și răspândirea imediat după instalare. Cu toate acestea, amploarea capacității acestui tip de scam este mult mai mare.

Figura 4 – Solicitare pentru instalarea extensiei Chrome

Acest troian este capabil, de asemenea, să adauge prieteni sau să dea unfollow, să creeze pagini de Facebook, să dea share sau să editeze/ascundă postări. La momentul redactării, aceste funcțiuni nu sunt active încă, dar nu putem exclude faptul că în viitor vor putea fi implementate și acestea.

Au existat persoane păcălite?

Da. Doar săptămâna trecută, ESET a detectat această amenințare în mai mult de 10,000 de cazuri. Înșelătoria răspândește codul malițios și infectează utilizatorii Facebook din Statele Unite, Canada, Australia, Marea Britanie, Noua Zeelandă, Rusia, Slovacia, Cehia, Germania, Elveția, Polonia, India, Dubai, Singapore, Norvegia, Grecia, Ungaria, Filipine, Turcia, Israel, Peru, Thailanda, Argentina și multe alte regiuni.

Figura 5 – Reacțiile unor victime

 Cum puteți scăpa de acest tip de înșelătorie?

1) Eliminați imediat extensia “Make a GIF” din browser-ul Chrome.

Fie tastați “chrome://extensions/” în bara de adrese, fie accesați Gestionează și controlează Google Chrome -> Mai multe utilitare -> Extensii -> Creează un GIF -> Șterge din Chrome …

Dacă utilizați și extensia legitimă “Make a GIF”, folosiți imaginile de mai jos pentru a putea distinge versiunea originală de cea infectată.

Figura 6 – Extensia infectată și cea originală

Figura 7 – Varianta curată pentru Make a GIF

Dacă faceți clic pe Detalii -> Vizionați în magazin, veți vedea detalii legate de extensie.

Figura 8 – Make a GIF infectat

2) Scanați computerul cu un program antivirus eficient.

Consecințe

În acest moment, această campanie rău intenționată se răspândește prin mesaje spam și infectează conturile Facebook, având o rată mare de succes. Cu toate acestea, are un potențial ridicat de a deveni chiar mai periculoasă pe viitor, răspândind malware-uri mai puternice cu caracteristici noi.

Prin urmare, utilizatorilor li se recomandă să fie foarte atenți în momentul accesării oricăror link-uri care par suspecte (folosesc limbaje diferite sau imperfecte, etichetează persoane fără nici un motiv, provin de la un prieten neașteptat sau de la alte surse necunoscute etc.), iar în timpul încercărilor de a viziona filmări ce par a aparține site-ului YouTube, nu descărcați nici un Flash player adițional sau plugin-uri similare.

LUKAS STEFANKO

CORESPONDENT INDEPENDENT