Ένα νέο Trojan που κυκλοφορεί από χθες στο Facebook έχει καταφέρει να διαδοθεί σε πάνω από 110.000 υπολογιστές μόλις σε δύο ημέρες. Ο ερευνητής ασφαλείας Mohammad Reza Faghani αναφέρει ότι τη γρήγορη μετάδοση του trojan εξυπηρετούν τα tags που προσθέτει και περιλαμβάνουν ονάματα φίλων του θύματος. Οι απάτες με τα Tags δεν είναι νέες, αλλά πρόσφατα χρησιμοποιούνται με αυξημένη συχνότητα.
Το κακόβουλο μήνυμα περιλαμβάνει ένα ψεύτικο πορνό βίντεο που αν κάποιος ανυποψίαστος κάνει κλικ για να το παρακολουθήσει, θα οδηγηθεί σε μια σελίδα για την προβολή του. Το βίντεο θα διακοπεί λίγα δευτερόλεπτα μετά την έναρξη του, ζητώντας από τον θεατή να κατεβάσει ένα κακόβουλο αρχείο που υποτίθεται ότι είναι μια ενημερωμένη έκδοση του Flash Player για να μπορέσει να παρακολουθήσει το υπόλοιπο κλιπ. Η διαδικασία λήψης ξεκινά αυτόματα.
Ο Mohammad Reza Faghani που ανακάλυψε την απάτη, αναφέρει ότι ο αριθμός των θυμάτων είναι σε έξαρση.
Όπως αναφέρει, οι κυβερνοεγκληματίες πίσω από το Trojan χρησιμοποιούν μια πολύ επιθετική μέθοδο διανομής, την οποία ο ερευνητής ονόμασε “Magnet,” ή μαγνήτη. Η μέθοδος επιτρέπει σε φίλους των φίλων του θύματος να δουν την κακόβουλη δημοσίευση.
Σε προηγούμενες περιπτώσεις, το αρχικό θύμα μπορούσε να στείλει την κακόβουλη δημοσίευση μόνο στους φίλους του, και μόνο αν είχαν μολυνθεί η απάτη μπορούσε θα μεταδοθεί στις επαφές τους.
Με μια σύντομη ανάλυση του Trojan φαίνεται ότι η ψεύτικη ενημέρωση του Flash Player χρησιμοποιεί πολλά ονόματα εκτελέσιμων αρχείων (chromium.exe, wget.exe, arsiv.exe, verclsid.exe) που βρίσκονται αποθηκευμένα σε κάποιο hacked σύστημα.
Όσον αφορά τη λειτουργικότητα του, ο Faghani αναφέρει ότι το κακόβουλο λογισμικό παίρνει τον έλεγχο του ποντικιού και του πληκτρολογίου του θύματος.
Σύμφωνα με πληροφορίες από τον Faghani, τα δύο domains που περιέχουν το Trojan εγγράφηκαν για πρώτη φορά τον Οκτώβριο του 2014. Ένα από αυτά, το pornokan[.]com χρησιμοποιεί ένα διακομιστή που βρίσκεται στο Άμστερνταμ (Digitalocean Amsterdam) και η IP του άλλου (filmver [.] com) δείχνει στο δίκτυο της Cloudflare. Και στις δύο ο πάροχος των domains είναι η εταιρεία FBS INC, από Τουρκία, η οποία προσφέρει υπηρεσίες καταχώρησης domain names.
Μία ανάλυση της BitDefender κατέληξε στο συμπέρασμα ότι ο απατεώνας είναι τουρκικής καταγωγής και χρησιμοποίησε το διαδικτυακό ψευδώνυμο “schwarzback.”
Προσοχή λοιπόν γιατί τα κακόβουλα μηνύματα κυκλοφορούν ακόμα σύμφωνα με τον ερευνητή.
