Rogue rozszerzenie Chrome zatrzymuje "polubienia" Facebooka dla internetowych bandytów

Badacze bezpieczeństwa z Bitdefender odkryli nowe oszustwo phishingowe, które instaluje złośliwe rozszerzenie w przeglądarce Chrome, aby włączyć Facebook. lubi "gotówkę za cyber oszustów."

Exploit zaczyna się od złośliwego linku osadzonego w wiadomościach spamowych, mówi Bogdan Botezatu, starszy analityk ds. e-zagrożenia w Bitdefender. Link prowadzi do sklepu Chrome Web Store, gdzie możesz pobrać rozszerzenie "biznesowego" odtwarzacza Flash - zakładając, że jesteś na tyle głupi, by klikać linki spamowe.

Kiedy tak zwana "biznesowa" wersja Flasha pobrane, monitoruje aktywność przeglądarki. Po przejściu na stronę Facebooka w przeglądarce Chrome złośliwe oprogramowanie sprawdza pliki cookie przeglądarki, aby sprawdzić, czy jesteś zalogowany na Facebooku. Jeśli tak, to pobierze fragment kodu JavaScript, który informuje rozszerzenie, co zrobić z kontem.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

"Mogą wyświetlać tyle kampanii, ile oni chcą - powiedział Botezatu w wywiadzie. "Wszystko, co muszą zrobić, to pobrać nowy skrypt."

Za pomocą skryptu twoje konto może być używane do spamowania znajomych, publikowania złośliwych linków w Twoim kanale wiadomości i na osi czasu oraz automatycznego "polubienia" stron bez twojej wiedzy. "Mogą zrobić wszystko, co użytkownik może zrobić ze swoim kontem na Facebooku", powiedział Botezatu.

Osoba atakująca może również ukraść twoje ciasteczka na Facebooku za pomocą złośliwego rozszerzenia. Następnie oszust może korzystać z plików cookie, aby uzyskać dostęp do konta z innego komputera. "W ten sposób możesz zgubić swoje konto", powiedział Botezatu.

Skrypt instruuje także skompromitowane konta, aby "polubiły" określone strony. Gdy strona odkryta przez Bitdefender miała ponad 40 000 polubień, chociaż strona była pozbawiona treści.

Gdy te strony zbierają upodobania, wzrasta ich wartość odsprzedaży w Dark Net. Gdy strony podbijają upodobania, stają się bardziej widoczne dla użytkowników Facebooka. Ta widoczność jest warta setki tysięcy dolarów dla cyber oszustów, ponieważ daje im to platformę do kierowania użytkowników Facebooka od wszystkiego, od złośliwego oprogramowania po smaki pod kątem fałszywych ubrań.

"Na podziemnych forach w Rosji strona sprzedająca 100 000 osób lubi sprzedawać około 150 $ do 200 $, "powiedział Botezatu.

Kiedy bajtowy bandyta kupi stronę, może ją przemianować. "Mogą sprawić, że strona będzie wyglądać tak, jakby była powiązana z dobrze znaną marką" - wyjaśnił. "Widzieliśmy, jak jedna strona jest wykorzystywana do sprzedaży fałszywej odzieży sportowej Nike."

Złośliwe linki mogą być również umieszczane na stronie, więc wszyscy użytkownicy, którzy lubią tę stronę, będą wyświetlać te linki na swoich stronach na Facebooku, dodał.

Botezatu powiedział, że jest mało prawdopodobne, że ten rodzaj infekcji zostanie wykryty przez program antywirusowy, chyba że program zawiera również filtry internetowe. "Tego rodzaju zagrożenie może utrzymywać się w przeglądarce przez dość długi czas" - powiedział.

To nie pierwszy raz, kiedy rozszerzenia Chrome zostały wykorzystane do działania na Facebooku. Wiosną ubiegłego roku zaczęły pojawiać się nieuczciwe rozszerzenia w Google Web Store, które pozwalają użytkownikom Facebooka robić takie rzeczy jak zmiana koloru stron profilowych i usuwanie wirusów z mediów społecznościowych.