En virus/orm har i løbet af weekenden spredt sig blandt brugere på Facebook. Den opnår en viral effekt ved at installere en udvidelse til browseren herunder til Firefox og Chrome. I næste fase tagger den 30-50 af vilkårlige venner og bekendte på Facebook og poster beskeden "Private V1DEO" og en henvisning til Youtube. Det pågældende link peger imidlertid på en URL, som intet har med Youtube at gøre. Se vedhæftede skærmdump.
Infektionskæde er gengivet herunder (saniteret af CSIS):
http://ki[.]je
--> http://tjetri.s3-website-us-west-2.amazonaws[.]com/mf40.html
--> https://cracks4free[.]info
--> https://dl.dropbox[.]com/s/0w6uex0aa8ap098/premiumD.xpi?dl=0
Hvis ofret accepterer, at installere den pågældende udvidelse: "Premium Codec", vil ormen sprede sig til andre brugere på Facebook, hvorved den opnår den virale effekt. Koden er i familien "Kilim".
Udvidelsen henter ledsagende uønsket malware fra følgende websider (saniteret af CSIS):
http://besttoolbars[.]net/commercial_license/
http://crossbrowser[.]com
http://sizzlejs[.]com/
Pakken "premiumD.xpi@dl=0" er i virkeligheden et zip arkiv som indeholder følgende filer:
install.rdf
icon.png
chrome.manifest
chrome [mappe]
Det er muligt for den pågældende udvidelse at opdatere sig selv via en indbygget funktion som også løbende kan poste nyt indhold som spredes via Facebook:
Indholdet fra adeaditi.info, som trækkes ned via SSL (udstedt af Geotrust) er gengivet herunder:
Her ser vi forskellige former for indholdsstyring og tracking.
Komponenten "install.rdf", som også er en del af pakken, anvendes til at installere "Crossbrowser", som er en udvidelse til Chrome der viser reklame indhold baseret på ens interesser og søgekriterier. Et udsnit af denne kode findes herunder:
000000C9 <em:id>Premium_Codec@CrossBrowser</em:id>
000000F6 <em:type>2</em:type>
0000010E <em:name>Premium Codec</em:name>
00000132 <em:description>Premium_Codec</em:description>
00000164 <em:creator>CrossBrowser</em:creator>
0000018D <em:homepageURL>http://crossbrowser.com</em:homepageURL>
000001C9 <em:version>1.0.0.0</em:version>
000001ED <em:contributor></em:contributor>
00000212 <em:iconURL>chrome://Premium_Codec/content/default_app_icon_32x32.png</em:iconURL>
00000268 <em:targetApplication>
00000283 <Description>
00000296 <em:id>{ec8030f7-c20a-464f-9b0e-13a3a9e97384}</em:id>
000002D1 <em:minVersion>4.0</em:minVersion>
000002F9 <em:maxVersion>9.*</em:maxVersion>
00000320 </Description>
00000332 </em:targetApplication>
0000034C </Description>
0000035C </RDF>
CSIS beskytter mod denne trussel i Heimdal PRO og CSIS Secure DNS og har blokeret for samtlige dedikerede websider/domæner som anvendes af Kilim.
Virus detektion af udvidelsen giver (10/56):
https://www.virustotal.com/en/file/37731bd0987cd1a3577d32183b226cda1b5113ea47eaf71acc982290b559f397/analysis/1430640309/
Vi har forøvrigt tidligere advaret omkring denne virus/orm:
https://www.csis.dk/da/csis/blog/4530/
↧
CSIS Blog: Facebook virus spredes i Skandinavien
↧