+7 (495) 229-0436   shopadmin@itshop.ru 119334, г. Москва, ул. Бардина, д. 4, корп. 3
 
 
Вход
 
 
Каталог
 
 
Подписка на новости:
Новости ITShop
Windows 7 и Office: Новости и советы
Обучение и сертификация Microsoft
Вопросы и ответы по MSSQLServer
Delphi - проблемы и решения
Adobe Photoshop: алхимия дизайна
 
Ваш отзыв
Оцените качество магазина ITShop.ru на Яндекс.Маркете. Если вам нравится наш магазин - скажите об этом Google!
 
 
Способы оплаты
Яндекс.Деньги VISA, EUROCARD/MASTER CARD, DCL, JCB WebMoney RBK Money Деньги@mail.ru Сбербанк РФ ASSIST QIWI кошелек
 
Курс расчета
 
 1 у.е. = 58.22 руб.
 
 Цены показывать:
 
 
 
 
  
Новости, статьи, акции
 

Массовая рассылка зловреда в Facebook Messenger

07.09.2017 15:02

Некоторое время назад Дэвид Якоби, антивирусный эксперт нашего Глобального центра исследований и анализа угроз, обнаружил мультиплатформенного зловреда, который распространялся через Facebook Messenger. Еще несколько лет назад подобные эпидемии случались довольно часто, но в последнее время их не было - в Facebook сделали немало для предотвращения подобных атак.

 

На момент публикации предварительного отчета Якоби еще не успел исследовать многие детали работы этой заразы, но теперь мы готовы поделиться подробностями. Вот как происходило заражение с точки зрения пользователя:

  • Пользователь получал сообщение в Facebook Messenger, состоявшее из слова Video, имени отправителя, случайного смайлика и короткой ссылки. Выглядело это, например, вот так:
  • После того, как пользователь кликал по ссылке, он оказывался в Google Drive, при этом на экране отображалось нечто, похожее на видеоплеер с фотографией отправителя оригинального сообщения в качестве заставке.
  • В том случае, если жертва пользовалась Google Chrome, при попытке воспроизвести это "видео" ее перебрасывало на страницу, очень похожую на YouTube. И на этой странице ей предлагали установить расширение для Chrome.
  • Если пользователь соглашался на установку, то это расширение начинало рассылать вредоносные ссылки его друзьям - и все повторялось по тому же самому алгоритму с каждым из них.
  • В случае с другими браузерами, вместо предложения установить расширение пользователям показывали настойчивые предложения обновить Adobe Flash Player. Скачиваемый после этого файл представлял собой AdWare - собственно, именно на рекламе злоумышленники и зарабатывали.

Дэвид Якоби и исследователь Франс Розен, с которым Якоби уже сотрудничал в рамках проекта "Охота на баги во имя человечества", проанализировали эту вредоносную кампанию и сумели понять, как все это работало "изнутри".

Страница, на которую пользователь попадал после клика по ссылке в Facebook Messenger, - это, по сути, PDF-файл, опубликованный на Google Drive и открытый в режиме предварительного просмотра. Файл состоял из фотографии пользователя Facebook, от имени которого рассылается зловред, наложенного на эту фотографию значка воспроизведения видео - а также ссылки, по которой новая жертва переходила, если пыталась нажать на кнопку "Воспроизвести".

 

После клика по ссылке друзья жертвы попадали на такую страницу

После нажатия на эту ссылку происходило несколько переадресаций, в результате которых пользователь попадал на один из сайтов, "заточенных" под его операционную систему и браузер. Если жертва пользовалась браузером, отличным от Google Chrome, то попадала на один из сайтов с загрузкой рекламного ПО под видом "обновления Adobe Flash Player".

 

Adware, распространяемое под видом обновления Adobe Flash Player в различных браузерах, отличных от Google Chrome

В случае же с Chrome все самое интересное на этом этапе только начиналось. Если жертва соглашалась на установку расширения для Chrome, оно начинало следить за тем, какие сайты открывал пользователь. Как только он заходил на Facebook, расширение воровало ID пользователя и токен доступа и отправляло их на сервер злоумышленников.

 

Поддельная страница YouTube с предложением установить расширения для Google Chrome

Злоумышленникам удалось найти интересный баг в Facebook: как оказалось, отключенная год назад функция Facebook Query Language не отключена совсем, а заблокирована для приложений - но за некоторыми исключениями. Например, ее до сих пор использует iOS-приложение Facebook Pages Manager. И чтобы получить доступ к заблокированной функции, достаточно действовать от имени этого приложения.

Используя украденные данные пользователя и доступ к устаревшей функции Facebook, злоумышленники запрашивали у соцсети список друзей жертвы, отсеивали из него тех, кто в данный момент не в сети, и случайным образом выбирали 50 новых жертв из тех, кто сейчас онлайн. Этим пользователям рассылалась новая ссылка на Google Drive с предварительным просмотром PDF-файла, сгенерированного уже на основе фотографии того, от чьего имени происходила новая волна рассылки - в общем, все продолжалось по кругу, согласно тому же самому сценарию.

Интересно, что, помимо всего прочего, вредоносный скрипт ставил "лайк" определенной странице в Facebook - судя по всему, злоумышленники использовали эту функцию для сбора статистики заражений. По наблюдениям Якоби и Розена, в ходе атаки злоумышленники сменили несколько подобных страниц, вероятно, из-за того, что Facebook закрывал предыдущие страницы. Если судить по количеству лайков, речь идет о десятках тысяч жертв.

 

Одна из страниц, на которой ставили лайки зараженные пользователи

Также анализ кода показал, что изначально злоумышленники собирались использовать локализованные сообщения (но потом передумали и ограничились коротким и универсальным "Video"). Если судить по коду функции, отвечавшей за локализацию, злоумышленников интересовали в первую очередь пользователи Facebook из нескольких европейских стран: Турции, Италии, Германии, Португалии, Франции (а заодно и франкоязычные пользователи из Канады), Польши, Греции и Швеции, а также англоязычные пользователи из любых стран.

На данный момент совместными усилиями нескольких компаний распространение заразы удалось остановить. Тем не менее эта история - отличный повод вспомнить о том, что расширения для браузеров - совсем не такая безобидная штука, как многим может показаться. Для того чтобы оставаться в безопасности и не стать жертвой подобных вредоносных кампаний, лучше не устанавливать расширения для браузеров, если нет абсолютной уверенности в том, что они безопасны, не воруют ваши данные и не следят за тем, что вы делаете в Интернете.

Ну и конечно же, не стоит кликать по всем ссылкам подряд, даже если они приходят от имени знакомых вам людей. Всегда полезно убедиться в том, что на другом конце действительно ваш друг, а не плохие парни, которым удалось захватить его аккаунт.
  
Помощь
Задать вопрос
 программы
 обучение
 экзамены
 компьютеры
Бесплатный звонок
ICQ-консультанты
Skype-консультанты

Общая справка
Как оформить заказ
Тарифы доставки
Способы оплаты
Прайс-лист
Карта сайта
 
Популярные статьи
СУБД и хранилища данных Информационная безопасность Microsoft Oracle Офисное ПО Управление проектами Управление качеством Управление разработкой ПО Антивирусное ПО и защита от спама Интернет IBM Eset Software Лаборатория Касперского Robots Blockchain
 
Бестселлеры
Курсы обучения "Atlassian JIRA - система управления проектами и задачами на предприятии"
Microsoft Office 365 для Дома 32-bit/x64. 5 ПК/Mac + 5 Планшетов + 5 Телефонов. Подписка на 1 год. Электронный ключ
Microsoft Windows 10 Профессиональная 32-bit/64-bit. Все языки. Электронный ключ
Microsoft Office для Дома и Учебы 2016. Все языки. Электронный ключ
Курс "Oracle. Программирование на SQL и PL/SQL"
Курс "Основы TOGAF® 9"
Microsoft Windows Professional 10 Sngl OLP 1 License No Level Legalization GetGenuine wCOA (FQC-09481)
Microsoft Office 365 Персональный 32-bit/x64. 1 ПК/MAC + 1 Планшет + 1 Телефон. Все языки. Подписка на 1 год. Электронный ключ
Windows Server 2016 Standard
Курс "Нотация BPMN 2.0. Ее использование для моделирования бизнес-процессов и их регламентации"
Антивирус ESET NOD32 Antivirus Business Edition
Corel CorelDRAW Home & Student Suite X8
 

О нас
Интернет-магазин ITShop.ru предлагает широкий спектр услуг информационных технологий и ПО.

На протяжении многих лет интернет-магазин предлагает товары и услуги, ориентированные на бизнес-пользователей и специалистов по информационным технологиям.

Хорошие отзывы постоянных клиентов и высокий уровень специалистов позволяет получить наивысший результат при совместной работе.

В нашем магазине вы можете приобрести лицензионное ПО выбрав необходимое из широкого спектра и ассортимента по самым доступным ценам. Наши менеджеры любезно помогут определиться с выбором ПО, которое необходимо именно вам. Также мы проводим учебные курсы. Мы приглашаем к сотрудничеству учебные центры, организаторов семинаров и бизнес-тренингов, преподавателей. Сфера сотрудничества - продвижение бизнес-тренингов и курсов обучения по информационным технологиям.



 

О нас

 
Главная
Каталог
Новинки
Акции
Вакансии
 

Помощь

 
Общая справка
Как оформить заказ
Тарифы доставки
Способы оплаты
Прайс-лист
Карта сайта
 

Способы оплаты

 

Проекты Interface Ltd.

 
Interface.ru   ITShop.ru   ERPforum.ru    Interface.ru/training   Olap.ru   Job.com.ru   ITnews.ru  
 

119334, г. Москва, ул. Бардина, д. 4, корп. 3
+7 (495) 229-0436   shopadmin@itshop.ru
Rambler's Top100 Проверить аттестат Товары@Mail.ru
© ООО "Interface Ltd."
Продаем программное обеспечение с 1990 года