Αρχική iHunt.gr ΠΡΟΣΟΧΗ !!! Νέος ιος στο Facebook χτυπάει 110.000 χρήστες σε 2 μέρες

ΠΡΟΣΟΧΗ !!! Νέος ιος στο Facebook χτυπάει 110.000 χρήστες σε 2 μέρες

από iHunt Team
malware

demobanner
Ένα νέο Trojan που κυκλοφορεί από χθες στο Facebook έχει καταφέρει να διαδοθεί σε πάνω από 110.000 υπολογιστές μόλις σε δύο ημέρες. Ο ερευνητής ασφαλείας Mohammad Reza Faghani αναφέρει ότι τη γρήγορη μετάδοση του trojan εξυπηρετούν τα tags που προσθέτει και περιλαμβάνουν ονάματα φίλων του θύματος. Οι απάτες με τα Tags δεν είναι νέες, αλλά πρόσφατα χρησιμοποιούνται με αυξημένη συχνότητα.malware Trojan trojan
 
Το κακόβουλο μήνυμα περιλαμβάνει ένα ψεύτικο πορνό βίντεο που αν κάποιος ανυποψίαστος κάνει κλικ για να το παρακολουθήσει, θα οδηγηθεί σε μια σελίδα για την προβολή του. Το βίντεο θα διακοπεί λίγα δευτερόλεπτα μετά την έναρξη του, ζητώντας από τον θεατή να κατεβάσει ένα κακόβουλο αρχείο που υποτίθεται ότι είναι μια ενημερωμένη έκδοση του Flash Player για να μπορέσει να παρακολουθήσει το υπόλοιπο κλιπ. Η διαδικασία λήψης ξεκινά αυτόματα.
 
Ο Mohammad Reza Faghani που ανακάλυψε την απάτη, αναφέρει ότι ο αριθμός των θυμάτων είναι σε έξαρση.
 
Όπως αναφέρει, οι κυβερνοεγκληματίες πίσω από το Trojan χρησιμοποιούν μια πολύ επιθετική μέθοδο διανομής, την οποία ο ερευνητής ονόμασε “Magnet,” ή μαγνήτη. Η μέθοδος επιτρέπει σε φίλους των φίλων του θύματος να δουν την κακόβουλη δημοσίευση.
 
Σε προηγούμενες περιπτώσεις, το αρχικό θύμα μπορούσε να στείλει την κακόβουλη δημοσίευση μόνο στους φίλους του, και μόνο αν είχαν μολυνθεί η απάτη μπορούσε θα μεταδοθεί στις επαφές τους.
 
Με μια σύντομη ανάλυση του Trojan φαίνεται ότι η ψεύτικη ενημέρωση του Flash Player χρησιμοποιεί πολλά ονόματα εκτελέσιμων αρχείων (chromium.exe, wget.exe, arsiv.exe, verclsid.exe) που βρίσκονται αποθηκευμένα σε κάποιο hacked σύστημα.
 
Όσον αφορά τη λειτουργικότητα του, ο Faghani αναφέρει ότι το κακόβουλο λογισμικό παίρνει τον έλεγχο του ποντικιού και του πληκτρολογίου του θύματος.
 
Σύμφωνα με πληροφορίες από τον Faghani, τα δύο domains που περιέχουν το Trojan εγγράφηκαν για πρώτη φορά τον Οκτώβριο του 2014. Ένα από αυτά, το pornokan[.]com χρησιμοποιεί ένα διακομιστή που βρίσκεται στο Άμστερνταμ (Digitalocean Amsterdam) και η IP του άλλου (filmver [.] com) δείχνει στο δίκτυο της Cloudflare. Και στις δύο ο πάροχος των domains είναι η εταιρεία FBS INC, από Τουρκία, η οποία προσφέρει υπηρεσίες καταχώρησης domain names.
 
Μία ανάλυση της BitDefender κατέληξε στο συμπέρασμα ότι ο απατεώνας είναι τουρκικής καταγωγής και χρησιμοποίησε το διαδικτυακό ψευδώνυμο «schwarzback.»
 
Προσοχή λοιπόν γιατί τα κακόβουλα μηνύματα κυκλοφορούν ακόμα σύμφωνα με τον ερευνητή.
 
Πηγή : iguru.gr

Print Friendly, PDF & Email

Σχετικά Άρθρα

Τα cookies επιτρέπουν μια σειρά από λειτουργίες που ενισχύουν την εμπειρία σας στο ihunt.gr. Χρησιμοποιώντας αυτόν τον ιστότοπο, συμφωνείτε με τη χρήση των cookies, σύμφωνα με τις οδηγίες μας Αποδοχή Περισσότερα