Wir sind der neuen Version einer alten Masche auf die Spur gekommen, mit der Facebook-Gruppen infiltriert werden, um in den Chroniken von Benutzern für Chaos zu sorgen.
Ausgangspunkt ist ein Link auf eine scheinbar seriöse Facebook-Seite. Dabei werden Sie mit dem Versprechen auf ein „geheimes über-18-Video“ gelockt.
Drücken Sie jetzt aber auf „Abspielen“, werden Sie aufgefordert, eine Chrome-Erweiterung zu installieren. Sie denken sich jetzt vielleicht, dass für das Abspielen dieser Videodatei eine spezielle Erweiterung benötigt wird. Aber Moment mal! Seit wann braucht man eine Erweiterung, um ein YouTube-Video in Chrome abzuspielen?
Die Erweiterung mit dem Namen „Fome He“ hat bereits 3.070 Benutzer infiziert. Von Infektion zu Infektion kommen dabei unterschiedliche Dateinamen (wie z. B. „Loviv“) zum Einsatz. Denn sobald Google entsprechende Beschwerden erhält, wird es die jeweilige Erweiterung höchstwahrscheinlich blockieren. Die Malware-Schreiber sind dann gezwungen, eine neue Erweiterung hochzuladen.
Betrachtet man die Quelle der Seite, wird schnell klar, dass sie „rein statisch“ ist, man auf ihr also keine Aktionen durchführen kann. Dahinter steckt viel mehr ein Trick, bei dem Sie bei jeder Aktion auf der Seite zur Installation der Erweiterung aufgefordert werden.
Nach der Installation werden Sie auf eine echte Facebook-Anmeldeseite weitergeleitet, falls Sie nicht bereits angemeldet sind.
Die installierte Erweiterung enthält die folgenden Dateien & Verzeichnisse:
1. akeka.js
2. 9 Verzeichnisse mit zufälligen Namen
Diese 9 Verzeichnisse enthalten wiederum Dateien mit zufälligen Namen und nicht relevanten Daten, die um die 7-8 KB groß sind.
Mit der Datei akeka.is wird eine Anfrage an eine fest programmierte URL-Adresse gestellt und ein neues Skript ausgeführt. Das heruntergeladene Skript sammelt Daten wie die Benutzerkennung und den Zeitstempel des Browsers und erlaubt die Manipulation der Datenschutzeinstellungen im Facebook-Profil des Benutzers.
Im nächsten Schritt beschafft sich die Malware eine Liste aller Gruppen, in denen der betroffene Benutzer angemeldet ist. Daraus wählt sie dann willkürlich maximal 10 Gruppen aus (die Obergrenze wird durch das Konfigurationsobjekt festgelegt). Unter dem Benutzerprofil, auf dem die vermeintliche „Abspielen“-Schaltfläche gepostet wurde, wird jetzt eine gefälschte Seite angelegt.
Durch die Analyse des gesamten JavaScripts konnten wir zudem einige Code-Anteile sichtbar machen, die nicht ausgeführt werden. Dieser Code scheint dazu zu dienen, neue Freunde hinzuzufügen. Wir gehen momentan davon aus, dass es sich um die Beta-Version einer Funktion handelt, mit der neue Freunde hinzugefügt werden. Zumindest geht dies aus dem Funktionscode hervor.
Der genaue Ablauf wird in der folgenden Abbildung dargestellt:
Nach einigen Minuten lassen sich folgende Aktivitäten auf dem Benutzerkonto beobachten:
Hier das Menü der neu angelegten Seite:
Ruft man über das Benutzerkonto das Aktivitätenprotokoll auf, wird eine Liste mit den Einträgen angezeigt, die in verschiedenen Gruppen gemacht wurden.
Denken Sie immer daran, dass Sie nicht anklicken sollten, was Ihnen verdächtigt erscheint, ganz egal wie schockierend oder verlockend es erscheint.Hacker verlassen sich auf Ihre Neugier, um Sie zu einem Teil ihrer Betrugsmasche zu machen. Schützen Sie sich!
Die technischen Informationen wurden zur Verfügung gestellt von Victor Luncasu, Malware-Forscher bei Bitdefender.
tags
The meaning of Bitdefender’s mascot, the Dacian Draco, a symbol that depicts a mythical animal with a wolf’s head and a dragon’s body, is “to watch” and to “guard with a sharp eye.”
Alle Beiträge sehenJuli 12, 2024
Juli 01, 2024
Juni 10, 2024
Juni 03, 2024