Για περίπου 48 ώρες κατά το διάστημα 24 Ιουνίου με 27, απατεώνες χρησιμοποίησαν Facebook spam μηνύματα για να διανείμουν κακόβουλο λογισμικό που πραγματοποιούσε hijack σε λογαριασμούς χρηστών για να φέρει εις πέρας διαδικασίες, όπως την πραγματοποίηση like και sharing ανεπιθύμητου περιεχομένου.
Ένας ερευνητής ασφαλείας από τη Ρωσική εταιρεία ασφαλείας, Kaspersky Lab, ανακάλυψε την καμπάνια, η οποία εξαπλωνόταν μεταξύ λογαριασμών στο Facebook, με τη μορφή ενός spam μηνύματος που λαμβάνονταν από κάποιον φίλο και ενημέρωνε τους χρήστες με το να τους αναφέρει σε ένα σχόλιο.
Επισκεπτόμενοι τον σύνδεσμο θα ξεκινούσε η πρώτη φάση της επίθεσης των δύο επιπέδων, κατά την οποία θα κατέβαινε κρυφά ένα trojan στον υπολογιστή του χρήστη.
Κατά το δεύτερο στάδιο, αυτό το trojan θα κατέβαζε και θα εγκαθιστούσε κρυφά μια επέκταση στον Chrome browser του χρήστη, εάν βρισκόταν στο μολυσμένο σύστημα.
Η επέκταση του Chrome θα περιμένει μέχρι ο χρήστης να προσπαθήσει και πάλι να αποκτήσει πρόσβαση στο Facebook, ζητώντας του εκ νέου να πραγματοποιήσει τον έλεγχο ταυτότητας. Αυτή τη στιγμή, η επέκταση θα κρατούσε το όνομα χρήστη και τον κωδικό πρόσβασης του Facebook του χρήστη και θα τα έστελνε στον διακομιστή του απατεώνα.
Ο απατεώνας τότε θα επωφελούνταν από αυτά τα διαπιστευτήρια και να ανέθετε σε αυτούς τους λογαριασμούς να κάνουν likes και shares στο επιθυμητό περιεχόμενο, ενώ παράλληλα θα γέμιζε με spam τους φίλους του μολυσμένου λογαριασμού για να εξαπλωθεί και περαιτέρω το κακόβουλο λογισμικό.
Ο απατεώνας πίσω από αυτή την καμπάνια ήταν πιθανό να πουλούσε Facebook Likes και shares μέσω του botnet από μολυσμένες συσκευές.
Εξαιτίας του πηγαίου κώδικα του trojan, αυτό το κακόβουλο λογισμικό ήταν αποτελεσματικό μόνο όταν οι χρήστες έβλεπαν τα spam μηνύματα από υπολογιστές με Windows.
Η Ρωσική εταιρεία ασφαλείας δήλωσε ότι το κακόβουλο λογισμικό προσπάθησε να προστατεύσει τον εαυτό του βάζοντας στη μαύρη λίστα τις αρχικές σελίδες πολλών προμηθευτών λογισμικού ασφαλείας.
“Δύο πτυχές αυτής της επίθεσης ξεχωρίζουν. Πρώτον, η παράδοση του malware ήταν εξαιρετικά αποτελεσματική, φθάνοντας σε χιλιάδες χρήστες σε μόλις 48 ώρες. Δεύτερον, η ανταπόκριση από τους καταναλωτές και τα μέσα μαζικής ενημέρωσης ήταν πραγματικά γρήγορη. Η αντίδρασή τους αύξησε την ευαισθητοποίηση της καμπάνιας και οδήγησε σε άμεση δράση και έρευνα από τους ενδιαφερόμενους παρόχους”, δήλωσε ο Ido Naor, Senior Security Researcher, Global Research and Analysis Team του Kaspersky Lab.
Οι μηχανικοί του Facebook ειδοποιήθηκαν και προχώρησαν σε τεχνικές μπλοκαρίσματος που χρησιμοποιούνται για την αποτροπή της εξάπλωσης του κακόβουλου λογισμικού. Η Google αφαίρεσε επίσης την rogue επέκταση από το Chrome Web Store της.
Σύμφωνα με τα στοιχεία της Kaspersky, η εκστρατεία δημιούργησε τα περισσότερα θύματα σε χώρες όπως η Βραζιλία, η Πολωνία, το Περού, η Κολομβία, το Μεξικό, ο Ισημερινός, η Ελλάδα, η Πορτογαλία, η Τυνησία, η Βενεζουέλα, η Γερμανία και το Ισραήλ.
