Специалисты Avira, CSIS Security Group и «Лаборатории Касперского» предупредили о новой вредоносной кампании, операторы которой используют для распространения малвари Facebook Messenger.
Вредоносные сообщения, как правило, приходят от одного из друзей потенциальной жертвы, чей аккаунт уже был скомпрометирован. Такое послание обязательно содержит имя друга и слово «видео», после чего следует короткая ссылка на bit.ly или t.cn. При этом исследователи признают, что механизм компрометации аккаунтов пользователей пока неясен. Злоумышленники могут использовать для этого похищенные учетные данные, кликджекинг или какую-то другую технику.
Если пользователь переходит по ссылке, якобы ведущей на видео, он попадает на страницу Google Docs. Отображаемый там документ подготавливается заранее: он содержит изображения, собранные со страницы жертвы в Facebook, которые отображаются в виде превью видеороликов. Кликнув на такой «ролик» пользователь попадает на другой сайт, который собирает информацию о его браузере, операционной системе и другую «телеметрию». Дальнейшее зависит от того, какой браузер и ОС использует жертва.
К примеру, если у пользователя установлен Firefox, он попадает на страницу, где ему предлагают установить фальшивое обновление Flash Update, загрузив исполняемый файл Windows. Этот файл скрывает в себе адварь.
Если жертва использует Chrome, она попадает на другой сайт, который полностью копирует YouTube. Ресурс отображается фальшивое сообщение об ошибке и, используя социальную инженерию, вынуждает пользователя загрузить из Google Web Store вредоносное расширение, которое, по сути, представляет собой загрузчик другой малвари. Что именно должно загружать расширение установить не удалось, так как в момент проведения исследований файл был недоступен.
Наконец, если жертва использует Safari, она попадает на почти такой же сайт, как и пользователи Firefox. Здесь тоже предлагают установить обновление Flash Media Player, но сайт ориентирован на пользователей macOS – загрузить нужно файл .dmg, внутри которого также был обнаружен рекламный вредонос.
Исследователи пишут, что злоумышленники используют множество разных доменов, как для предотвращения отслеживания, так и для привлечения большего количества кликов. Подобные кампании в целом не новы, однако кастомный документ Google Docs – это уже кое-что необычное.
По словам специалистов, пока операторы этой кампании не заражают своих жертв банковскими троянами и другой серьезной малварью, скорее они зарабатывают на рекламе. Тем не менее, эксперты в очередной раз призывают пользователей не кликать по подозрительным ссылкам, а если кто-то из друзей в Facebook присылает сообщения с вредоносными ссылками, стоит не только предупредить самого друга о компрометации аккаунта, но и сообщить о спаме специалистам социальной сети.