23 grudnia 2010

Cyberprzestępcy znowu wykorzystują Facebooka

Nowy szkodliwy program wysyła odsyłacze rzekomo prowadzące do Facebooka

Kaspersky Lab informuje o wykryciu robaka Zeroll, który przeprowadza masowe wysyłki niebezpiecznych wiadomości za pośrednictwem różnych komunikatorów internetowych. Cyberprzestępcy użyli socjotechniki i wizerunku Facebooka, aby nakłonić użytkowników do klikania niebezpiecznych odsyłaczy i pobierania szkodliwych programów.

W ostatnich dniach specjaliści z Kaspersky Lab wykryli nowe wiadomości spamowe ze szkodliwymi odsyłaczami, wysyłane za pośrednictwem różnych komunikatorów internetowych. Okazało się, że za wysyłkami stoi robak Zeroll, a wiadomości, różniące się językiem w zależności od odbiorcy, były generowane przez bota. Oto kilka przykładów:

  • “Wie findest du das Foto?”
  • “seen this?? :D %s”
  • “This is the funniest photo ever!”
  • “bekijk deze foto :D”
  • “uita-te la aceasta fotografie :D”

Tak jak w przypadku wielu innych, podobnych incydentów, cyberprzestępcy wykorzystali socjotechnikę, zachęcając użytkowników do obejrzenia zdjęć o kuszących nazwach. Na końcu wiadomości znajduje się odsyłacz, taki jak http://www.facebook.com/l.php?u=********.org/Jenny.jpg. Oprócz odsyłacza do pliku Jenny.jpg wiadomości zawierały również podobne odsyłacze do Sexy.jpg.

Strona, do której prowadzi odsyłacz http://www.facebook.com/l.php?u=, w rzeczywistości nie jest szkodliwa – zawiera ostrzeżenie z Facebooka informujące użytkownika, że opuszcza stronę.


Ostrzeżenie Facebooka

Jeżeli użytkownik kliknie przycisk „Continue”, odsyłacz zaprowadzi go na zainfekowaną stronę. Cyberprzestępcy wykorzystali ten mechanizm, aby szkodliwy odsyłacz wyglądał na całkowicie bezpieczny. Użytkownik zostanie przekierowany na adres ********.org/Jenny.jpg, który z kolei prowadzi do zainfekowanego pliku PIC1274214241-JPG-www.facebook.com.exe. W efekcie szkodliwy program jest instalowany i uruchamiany na komputerze niczego niepodejrzewającego użytkownika. W przypadku próby obejrzenia obrazka Sexy.jpg dzieje się dokładnie to samo.

Analiza szkodników, do których prowadzą „obrazki” Jenny.jpg oraz Sexy.jpg wykazała, że są to typowe downloadery, czyli aplikacje pobierające na zainfekowany komputer inne niebezpieczne programy. W tym przypadku pobierany jest plik srce.exe.



Fragment kodu downloadera po całkowitym rozpakowaniu pliku jenny.jpg

Aby użytkownik niczego nie podejrzewał, downloadery otwierają również zdjęcie obiecywane w pierwotnej wiadomości spamowej. Zdjęcie jest pobierane z Internetu.

Czym jest srce.exe? Jest to aplikacja pobierająca robaka IM-Worm.Win32.XorBot.a, który wykorzystuje komunikator Yahoo Messenger w celu wysyłania kolejnych zainfekowanych wiadomości użytkownikom.

Podsumowując, odsyłacz do strony na Facebooku jest wykorzystywany w spamie wysyłanym za pośrednictwem komunikatorów internetowych zamiast bezpośredniego odsyłacza do szkodliwego obiektu. Można powiedzieć, że Facebook jest wykorzystywany w ten sam sposób co usługa typu bit.ly: pozwala modyfikować odsyłacze, tak aby były kierowane przez domenę Facebook.

„Robak Zeroll nadal aktywnie rozsyła spam. Wiadomości zawierają odsyłacze do różnych plików, jednak wszystkie mają podobne, dość jednoznacznie kojarzące się nazwy, takie jak Girls.jpg czy Marisella.jpg” – powiedział Wiaczesław Zakorzewski, analityk zagrożeń z Kaspersky Lab. "Chociaż większość osób wie, że nie powinno się klikać dziwnych odsyłaczy, nawet jeśli zostały wysłane przez kogoś z ich listy kontaktów, warto przypomnieć o tym jeszcze raz. Niestety, cyberprzestępcom nie można odmówić kreatywności, czego dowodem jest spam rozsyłany przez robaka Zeroll.”

Więcej informacji o najnowszych atakach oraz innych incydentach związanych z cyberprzestępczością i codzienną pracą specjalistów ds. bezpieczeństwa można znaleźć w Dzienniku Analityków publikowanym w Encyklopedii Wirusów VirusList.pl prowadzonej przez Kaspersky Lab.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.