Vi ser i disse timer mange rapporter omkring en ny "orm" som replikerer sig over Facebook.
Ormen, som inficerer via et link der peger på "Dropbox", sender sig selv videre som en besked til venner og bekendte og poster sig endvidere på ofrets væg med følgende indhold:
"%Navnet på offer%" Private Video [link til dropbox].
"%Navnet på offer%" OMG! [link]
Den tagger samtidig venner og bekendte, hvorved den opnår hurtig spredning.
Brugeren skal åbne og aktivere linket til dropbox for at blive inficeret. Ved infektion vil koden installere sig som en browser udvidelse.
Vi har endvidere set en tilsvarende kampagne som peger på skyen hos Amazon og som tilbyder et "New Emoticons!" udvidelse via:
hxxp://video5826.s3-website.eu-central-1.amazonaws.com/
Denne flytter trafikken videre til:
hxxp://free.motitags.com som tilbyder "Motitags toolbar".
Som det kan ses af ovenstående hentes pluginet fra:
Premium Codec
http://ajetem68.mzzhost.com/premiumD.xpi
Den pågældende udvidelse installeres som "Premium Code" og kan fjernes under udvidelser. Den understøtter Internet Explorer, Firefox og Chrome.
Facebook brugere som er inficeret kan genkendes ved at de poster beskeder med tags som eksempelt tidligere. Koden muterer løbende. Den seneste variant gør brug af URL-forkorter tjenesten goo.gl. Der genereres også løbende nye links og billede indhold.
Indholdet trækkes via en IRC server, som den inficerede maskine hiver nye instruktioner fra. Denne er blokeret i Heimdal PRO og CSIS Secure DNS ligesom vi har blokeret de websider som det skadelige indhold leveres igennem. Vi detekterer trafikken som "FBMotitags". Antivirus detektion er lav.
↧
CSIS Blog: Hurtigt spredende Facebook orm
↧