Neue Facebook-Betrugsmasche verbreitet pornographische Inhalte über Ihre Gruppen!

 

 

Wir sind der neuen Version einer alten Masche auf die Spur gekommen, mit der Facebook-Gruppen infiltriert werden, um in den Chroniken von Benutzern für Chaos zu sorgen.

 

Ausgangspunkt ist ein Link auf eine scheinbar seriöse Facebook-Seite. Dabei werden Sie mit dem Versprechen auf ein „geheimes über-18-Video“ gelockt.

 

Drücken Sie jetzt aber auf „Abspielen“, werden Sie aufgefordert, eine Chrome-Erweiterung zu installieren. Sie denken sich jetzt vielleicht, dass für das Abspielen dieser Videodatei eine spezielle Erweiterung benötigt wird. Aber Moment mal! Seit wann braucht man eine Erweiterung, um ein YouTube-Video in Chrome abzuspielen?

 

Die Erweiterung mit dem Namen „Fome He“ hat bereits 3.070 Benutzer infiziert. Von Infektion zu Infektion kommen dabei unterschiedliche Dateinamen (wie z. B. „Loviv“) zum Einsatz. Denn sobald Google entsprechende Beschwerden erhält, wird es die jeweilige Erweiterung höchstwahrscheinlich blockieren. Die Malware-Schreiber sind dann gezwungen, eine neue Erweiterung hochzuladen.

 

Betrachtet man die Quelle der Seite, wird schnell klar, dass sie „rein statisch“ ist, man auf ihr also keine Aktionen durchführen kann. Dahinter steckt viel mehr ein Trick, bei dem Sie bei jeder Aktion auf der Seite zur Installation der Erweiterung aufgefordert werden.

 

Nach der Installation werden Sie auf eine echte Facebook-Anmeldeseite weitergeleitet, falls Sie nicht bereits angemeldet sind.

 

 

Die installierte Erweiterung enthält die folgenden Dateien & Verzeichnisse:

1.     akeka.js

2.     9 Verzeichnisse mit zufälligen Namen

 

Diese 9 Verzeichnisse enthalten wiederum Dateien mit zufälligen Namen und nicht relevanten Daten, die um die 7-8 KB groß sind.

 

Mit der Datei akeka.is wird eine Anfrage an eine fest programmierte URL-Adresse gestellt und ein neues Skript ausgeführt. Das heruntergeladene Skript sammelt Daten wie die Benutzerkennung und den Zeitstempel des Browsers und erlaubt die Manipulation der Datenschutzeinstellungen im Facebook-Profil des Benutzers.

 

 

Im nächsten Schritt beschafft sich die Malware eine Liste aller Gruppen, in denen der betroffene Benutzer angemeldet ist. Daraus wählt sie dann willkürlich maximal 10 Gruppen aus (die Obergrenze wird durch das Konfigurationsobjekt festgelegt). Unter dem Benutzerprofil, auf dem die vermeintliche „Abspielen“-Schaltfläche gepostet wurde, wird jetzt eine gefälschte Seite angelegt.

 

Durch die Analyse des gesamten JavaScripts konnten wir zudem einige Code-Anteile sichtbar machen, die nicht ausgeführt werden. Dieser Code scheint dazu zu dienen, neue Freunde hinzuzufügen. Wir gehen momentan davon aus, dass es sich um die Beta-Version einer Funktion handelt, mit der neue Freunde hinzugefügt werden. Zumindest geht dies aus dem Funktionscode hervor.

 

Der genaue Ablauf wird in der folgenden Abbildung dargestellt:

 

 

Nach einigen Minuten lassen sich folgende Aktivitäten auf dem Benutzerkonto beobachten:

 

 

Hier das Menü der neu angelegten Seite:

 

 

Ruft man über das Benutzerkonto das Aktivitätenprotokoll auf, wird eine Liste mit den Einträgen angezeigt, die in verschiedenen Gruppen gemacht wurden.

 

 

Denken Sie immer daran, dass Sie nicht anklicken sollten, was Ihnen verdächtigt erscheint, ganz egal wie schockierend oder verlockend es erscheint.Hacker verlassen sich auf Ihre Neugier, um Sie zu einem Teil ihrer Betrugsmasche zu machen. Schützen Sie sich!

 

Die technischen Informationen wurden zur Verfügung gestellt von Victor Luncasu, Malware-Forscher bei Bitdefender.