CSIS har opsamlet flere eksemplarer af en ny orm som hastigt spreder sig via Facebook. Ormen gør brug af både ofrets væg, hvor den tagger venner og bekendte (ca 20 i bunter), men samtidig kommunikerer den også via Facebook Messenger hvorved andre potentielle ofre eksponeres for koden.
Epicenter for spredningen er Danmark, så den største spredning er pt. blandt danske Facebook brugere.
Den ondsindede kode introduceres altså ved at tagge venner og bekendte i et opslag, som ormen laver på ofrets Facebook væg. Men derudover spreder den sig også via Facebook messenger, hvor den anvender en URL-forkorter via "goo.gl" tjenesten.
Den skadelige kode spredes via Amazon skyen og anvender et loop igennem annonymiseringstjensten "hidemeass.com". Et eksempel på en side som på nuværende tidspunkt er aktiv findes herunder
http://thybajote.s3-website-us-west-2.amazonaws.com/mf40.html
Denne webside, vil hvis ofret vælger at klikke på: "update player" flytte ofret videre til:
premiumd1.mzzhost.com/premiumD.xpi
Dette er en browser udvidelse, som hvis accepteres og installeres, sætter gang i spredningen af denne orm. Koden understøtter Firefox og Chrome.
Domænet, som koden leveres igennem, har været misbrugt tidligere af en tilsvarende Facebook orm, og er allerede blokeret i CSIS Secure DNS. Derved er alle Heimdal PRO og corporate kunder også beskyttet mod denne trussel.
Hvad er målet med denne kampagne?
At installere en browser udvidelse til Chrome, Firefox eller Netscape med navnet "Premium Codec 1.0.0.0". Det primære formål er at kunne gennemføre "Click Fraud".
Den pågældende udvidelse har efterladt følgende "compile" data: file:///e:/builds/moz2_slave/ og en henvisning til "omni.jar".
Pluginet installeres ved at spawne en shell med følgende kommando:
C:WINDOWSsystem327za.exe 7za.exe x -oC:ffplugin C:2025e46dd4c66b19fec58c16dfaf421b3840bd85794644bf072f0e6ab119832f.xpi. Pluginet installeres som "Premium Codec 1.0.0.0" og er en "Crossbrowser" Click Fraud kode baseret på Crossrider frameworket. Med dette plugin kan bagmænd tjene penge ved at forfalske reklamer via Yahoo, YouTube, Bing/MSN, AOL, Google og Facebook.
Når installation er gennemført droppes:
C:Documents and Settings[%brugerkonto%]Application DataMozillaFirefoxProfilesdefaultparent.lock
Udover at forbinde sig til føromtalte domæner etablerer pluginet også kontakt til:
http://cracks4free.info
http://crossbrowser.com
http://www.besttoolbars.net
Domæerne er blokeret i CSIS Secure DNS og Heimdal PRO.
Den pågældende kode er i FBJack klassen. Antivirus detektion giver pt. 20/54:
https://www.virustotal.com/da/file/2025e46dd4c66b19fec58c16dfaf421b3840bd85794644bf072f0e6ab119832f/analysis/
↧
CSIS Blog: Facebook orm tagger dig og vennerne
↧