Et ondsindet fjernbetjeningsværtøj, som ser ud til at være designet til at gennemføre videooptagelser af naive ofre, spredes i disse timer blandt danske Facebook brugere. Lokkemaden er hardcore pornografisk materiale og med den skadelige pakke kommer et plugin som tagger venner og bekendte og derved giver koden en viral effekt.
Hvis du pludseligt bliver tagget i indhold af yderst pornografisk karakter på Facebook er der stor sandsynlighed for at en ven eller bekendt har åbnet og aktiveret en ondsindet kode som bærer en cocktail af dårligdom. Koden som leveres bruges til at sprede det uønskede budskab videre til andre, men samtidig stjæler den også data fra din maskine og aktiverer bl.a. dit webcam.
Infektionen starter med at du tagges i et opslag. Se eksempel herunder: 
Hvis du klikker på denne Facebook tagging flyttes du til en webside hostet i skyen hos Amazon. Fra denne flyttes du med det samme videre til en anden webside, hvorfra der tilbydes en fil med navnet "YoutubePlayer7.exe". Det er den skadelige malware som man skal holde sig fra!
Se infektionskæden herunder (saniteret af CSIS):
http://kx30u4jpu1atq.s3-website-us-east-1[.]amazonaws[.]com
--> http://storage.googleapis[.]com/asdf435sd/i.html?bebehhnfasfasfasvxcbdgeryerfbvcbcvbdfgdsgfdhgf
--> YoutubePlayer7.exe (MD5: 281222bacdb022a9b38978cd2cacd807)
Det pågældende program installerer et browser plugin ved navnet "Dragon City" der anvendes til at sprede det uønskede budskab videre, hvor vilkårlige venner og bekendte tagges i.
Sexortion værktøj
Men desværre indeholder pakken også funktioner som gør det muligt for bagmanden at aktivere webcam, mikrofon, tage skærmbilleder osv. Det er indlysende hvad det kan føre til i denne sammenhæng. Vi har set flere af den slags blive anvendt i sexortion sager og særligt i en sammenhæng som denne der starter med hardcore pornografisk lokkemad.
Når "YoutubePlayer7.exe" åbnes af en uforsigtig bruger vil den via et HTTP get hente filen "servant" og kopiere den til: C:Users[brugernavn]AppDataRoamingservant.exe
Den binder sig herefter ind i et BOTnet med (saniteret af CSIS):
HTTP GET 178.62[.]143.123/durum.php?v=16&unique=53921260&os=7
Dine følsomme data postes til samme server, som befinder sig i Holland, via en HTTP POST mod PHP gatewayen: update.php og indeholder bl.a. brugernavne og passwords som høstes fra den lokale harddisk.
Der er tale om en væmmelig cocktail, så udvis derfor forsigtighed med at klikke på denne type indhold og åbn aldrig filer hvis indhold du ikke kender.
En del af koden ringer hjem til flere domæner, som vi har blokeret i CSIS Secure DNS og Heimdal PRO/Corporate.
Hovedkomponenten opnår kun begrænset antivirus detektion:
https://www.virustotal.com/en/file/cd4880182db9fc4d31d7e87d8c8fa0e4c7f81825aab56135d008f0e9f9ebae32/analysis/1427285449/
↧
CSIS Blog: Sexortion værktøj spredes på Facebook
↧