Złośliwe oprogramowanie pornograficzne wpływa na Facebooka, usługi Amazon i Box

Nowy rodzaj złośliwego oprogramowania, które rozprzestrzenia się za pośrednictwem Facebooka, może również infekować inne usługi, takie jak Amazon, Box i adres URL skrótu Ow.ly. Robak został wykryty przez laboratoria bezpieczeństwa Malwarebytes i rozprzestrzenia się poprzez podejrzane linki na stronach pornograficznych.

Złośliwe oprogramowanie jest częścią rodziny Kilim, która może infekować Google Chrome niechcianymi wtyczkami, zdolna do korzystania z profili użytkowników w mediach społecznościowych w celu przeglądania i udostępniania stron bez zgody użytkownika. Ten typ robaka rozprzestrzenia się w przeglądarce z fałszywymi instalatorami lub Adobe Flash Player i Google Update .

Ta odmiana wykorzystuje obietnicę materiałów pornograficznych, które można pobrać ze stron internetowych. Pobrany plik to videos_New.mp4_2942281629029.exe, który próbuje przejść przez wideo, ale w rzeczywistości jest złośliwym plikiem wykonywalnym. Zainfekowane ofiary próbują rozprzestrzeniać robaka na swoje kontakty lub grupy, publikując pornograficzne wiadomości z linkami na Ow.ly.

Za kulisami przestępcy mają architekturę warstwy przekierowań, która korzysta z readresatora, Amazon i pudełka do przechowywania w chmurze. Wynik końcowy zależy od zespołu, który kliknie link. Urządzenia mobilne są przekierowywane na witryny stowarzyszone, które służą do wyświetlania losowych ofert.

W przypadku komputerów stacjonarnych oprócz przekierowania rozszerzenie zostanie zainstalowane w Chrome i utworzy skrót do przeglądarki, która służy do uruchamiania złośliwej aplikacji, gdy jest otwarta. Ta taktyka pozwala przestępcom ominąć ochronę przeglądarki przy użyciu zainfekowanej wersji.

Pełna ścieżka łącza przechodzi przez serię przekierowań. Pierwszy z nich, Ow.ly, przekierowuje do drugiego linku skracacza URL. To z kolei prowadzi użytkownika do readresatora Amazon, który ostatecznie prowadzi do złośliwej strony. Ta strona sprawdza komputery i przekierowuje je w zależności od urządzenia użytkownika. Na przykład komputery stacjonarne są przenoszone do Box.com, gdzie pobierany jest szkodliwy plik.

Według firm odpowiedzialnych, że złośliwe programy zostały już poinformowane o problemie, a kilka adresów URL jest zablokowanych i zagrożonych. Firma prosi użytkowników o ostrożność i unikanie klikania linków, które obiecują nagrody lub darmowe przedmioty.