malware

Νέο Trojan στο Facebook χτυπάει 110.000 χρήστες σε 2 μέρες

Ένα νέο Trojan που κυκλοφορεί από χθες στο Facebook έχει καταφέρει να διαδοθεί σε πάνω από 110.000 υπολογιστές μόλις σε δύο ημέρες. Ο ερευνητής ασφαλείας Mohammad Reza Faghani αναφέρει ότι τη γρήγορη μετάδοση του trojan εξυπηρετούν τα tags που προσθέτει και περιλαμβάνουν ονάματα φίλων του θύματος. Οι απάτες με τα Tags δεν είναι νέες, αλλά πρόσφατα χρησιμοποιούνται με αυξημένη συχνότητα.malware Trojan

Το κακόβουλο μήνυμα περιλαμβάνει ένα ψεύτικο πορνό βίντεο που αν κάποιος ανυποψίαστος κάνει κλικ για να το παρακολουθήσει, θα οδηγηθεί σε μια σελίδα για την προβολή του. Το βίντεο θα διακοπεί λίγα δευτερόλεπτα μετά την έναρξη του, ζητώντας από τον θεατή να κατεβάσει ένα κακόβουλο αρχείο που υποτίθεται ότι είναι μια ενημερωμένη έκδοση του Flash Player για να μπορέσει να παρακολουθήσει το υπόλοιπο κλιπ. Η διαδικασία λήψης ξεκινά αυτόματα.

Ο Mohammad Reza Faghani που ανακάλυψε την απάτη, αναφέρει ότι ο αριθμός των θυμάτων είναι σε έξαρση.

Όπως αναφέρει, οι κυβερνοεγκληματίες πίσω από το Trojan χρησιμοποιούν μια πολύ επιθετική μέθοδο διανομής, την οποία ο ερευνητής ονόμασε “Magnet,” ή μαγνήτη. Η μέθοδος επιτρέπει σε φίλους των φίλων του θύματος να δουν την κακόβουλη δημοσίευση.

Σε προηγούμενες περιπτώσεις, το αρχικό θύμα μπορούσε να στείλει την κακόβουλη δημοσίευση μόνο στους φίλους του, και μόνο αν είχαν μολυνθεί η απάτη μπορούσε θα μεταδοθεί στις επαφές τους.

Με μια σύντομη ανάλυση του Trojan φαίνεται ότι η ψεύτικη ενημέρωση του Flash Player χρησιμοποιεί πολλά ονόματα εκτελέσιμων αρχείων (chromium.exe, wget.exe, arsiv.exe, verclsid.exe) που βρίσκονται αποθηκευμένα σε κάποιο hacked σύστημα.

Όσον αφορά τη λειτουργικότητα του, ο Faghani αναφέρει ότι το κακόβουλο λογισμικό παίρνει τον έλεγχο του ποντικιού και του πληκτρολογίου του θύματος.

Σύμφωνα με πληροφορίες από τον Faghani, τα δύο domains που περιέχουν το Trojan εγγράφηκαν για πρώτη φορά τον Οκτώβριο του 2014. Ένα από αυτά, το pornokan[.]com χρησιμοποιεί ένα διακομιστή που βρίσκεται στο Άμστερνταμ (Digitalocean Amsterdam) και η IP του άλλου (filmver [.] com) δείχνει στο δίκτυο της Cloudflare. Και στις δύο ο πάροχος των domains είναι η εταιρεία FBS INC, από Τουρκία, η οποία προσφέρει υπηρεσίες καταχώρησης domain names.

Μία ανάλυση της BitDefender κατέληξε στο συμπέρασμα ότι ο απατεώνας είναι τουρκικής καταγωγής και χρησιμοποίησε το διαδικτυακό ψευδώνυμο “schwarzback.”

Προσοχή λοιπόν γιατί τα κακόβουλα μηνύματα κυκλοφορούν ακόμα σύμφωνα με τον ερευνητή.

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).