"Nulles dienas" ļaunatūras draud iznīcināt Facebook datus

autors: Džeiks Do - -

Atklāts, ka 7 Google interneta veikala paplašinājumus ir inficējušas ļaunatūras

Zero-day malware is threatening to steal Facebook users' credentials

Jau atkal ļaunatūras draud Facebook lietotājiem. Šoreiz jauno kampaņu, kas saistīta ar šo sociālo tīklu, atklāja Radware drošības komanda. . Vīruss, kurš tika nodēvēts par Nigeltornu (no angļu val. – Nigelthorn), iekļūst sistēmās caur gudri izveidotām Facebook saitēm. Šī ļaunatūra var nozagt personas datus (tādus kā pierakstīšanās informāciju) un instalēt ļaunprātīgus paplašinājumus, kuri ar inficētās ierīces palīdzību tiek izmantoti kriptovalūtu rakšanā. Tika paziņots, ka kopš 2018. gada marta šis vīruss ir inficējis jau vairāk nekā 100 000 lietotāju.

Lai apietu Google validācijas analīzi, hakeri nokopēja legālu paplašinājumu un iekodēja tajā ļaunprātīgu skriptu tā, lai ļaunatūra varētu tikt palaista nemanīta. Paplašinājumi, uz kuriem visvairāk vērsta hakeru darbība, ir Nigelify, Pwner Like un iHabno. Kopā tika atklātas 7 lietotnes, kuras satur Nigeltorna kodu. Par laimi Google paspēja izņēmt šīs bīstamās lietotnes no sava veikala dažas stundas pēc to publicēšanas. 

Jāņem vēra, ka Google Chrome lietotāji ir vienīgie, kuri cieta no šīs ļaunatūras darbības, jo tā tika iekļauta tikai Chrome paplašinājumos. 

Nigletorna darbības principi

Līdzīgi kā vairumā Facebook vīrusu gadījumu,, lietotājs vai nu saņem privātu ziņu no personas, kas ir viņa/-s draugu lokā, vai arī tiek atzīmēts ierakstā, kurš satur kaitīgu saiti. Pēc noklikšķināšanas uz šīs saites, lietotājs tiek aizvest uz viltus Youtube vietni, kurā tiek pieprasīta īpašas lietotnes instalēšana video atskaņošanai.

Ja lietotājs veic tālākas darbības, lietotne (visbiežāk kaitīgo kodu saturošā Nigelify) tiek ieinstaIēta un dators acumirklī tiek inficēts ar ļaunatūru. Pēc tam JavaScript no C2 hakeriem lejupielādē konfigurācijas failu, kas iekļauj spraudņu kopu (kriptomaineri, Youtube klikšķināšanas ēsmas un kodu, kurš nopludina Facebook saišu reprodukcijas). 

Tam visam papildus Nigeltorns pārlūkprogrammmā lejupielādē publiski pieejamu kripto-rakšanas rīku un uzsāk Monero, Bytecoin vai Electorneum rakšanu inficiētajā ierīcē. Šajā gadījumā, protams, datora CPU samazinās, jo tā lietojums palielinās līdz teju 100%. Drošības pētnieki paziņoja, ka šādā veidā kibernoziedzinieki nedaudz vairāk kā sešās dienās ir iemanījušies “izrakt” gandrīz 1000$ (lielākoties no Monero).

Tāpat ļaunatūra uzsāk pašizplatīšanās ciklu. Tā ievāc visu nepieciešamo informāciju, lai tālāk izplatītos lietotāja tīklā. Kolīdz upuris ir noklikšķinājis uz kaitīgās saites, vīruss nosūta tās kopiju nejauši izvēlētiem cilvēkiem no upura draugu saraksta. Tādejādi, ļaunatūra turpina paplašināties. 

Visbeidzot, vīruss cenšās nozagt datus no upura Facebook konta, kā arī piekļūt cookies informācijai no Instagram. Ja lietotājs ievada savu informāciju, tā tiek nosūtīta C2 hakeru komandai. 

 Facebook vīrusi negrasās beigt savu darbību

Ir skaidrs, ka Facebook vīrusi tik drīz neizzudīs, jo tas ir diezgan iedarbīgs veids, kādā pārliecināt lietotājus klikšķināt uz kaitīgiem linkiem un tad inficēt viņu sistēmas ar ļaunatūrām. Kā redzams pēc jaunākajām Stresspaint un FacexWorm kampaņām, kibernoziedzinieki turpinās atrast dažādus veidus, kādos apiet sistēmās iebūvētās drošības metodes. Tādēļ lietotājiem jābūt ārkārtīgi piesardzīgiem, klikšķinot uz saitēm, pat ja tās šķiet ticamas vai nāk no uzticama drauga. 

Jake Doevan
Jake Doevan

Dzīve ir pārāk īsa, lai to veltītu vīrusu apkarošanai...

Sazināties ar Jake Doevan
Par Esolutions uzņēmumu

Lasīt citās valodās


Faili
Programmas
Salīdzināt
Seko mums Facebook