G Data Software предупреждает о новой атаке на Facebook

Совсем недавно мы писали об атаке трояна на русскоязычных пользователей Facebook, а теперь компания G Data Software обнаружила новую атаку вредоносного  ПО в этой социальной сети. Многие пользователи получили сообщение через функцию Facebook чат следующего содержания: “Это твой бывший молодой человек/девушка?”, “Боже мой, посмотри какой милый”.

Атака на Facebook

Сокращенный линк мог быть разным, но результат  остается прежним: после перехода по ссылке на компьютере начинается загрузка файла, который маскируется под .jpg формат. В случае загрузки у пользователя не отображается расширение, а появляется иконка обычной картинки в формате jpg. С активизированной функцией отображения расширения файл может выглядеть следующий образом:

Атака на Facebook

Такой файл с несоответствием иконки и расширения заставляется задуматься о его происхождении, но, к сожалению, далеко не все пользователи замечают это несовпадение. Очевидно, что после загрузки “картинки” пользователь хочет увидеть забавный или шокирующий снимок, обещанный в чате. И тут наступает момент заражения: при нажатии на картинку начинается загрузка  вредоносных программ на компьютер  пользователя, который, поплатившись за свое любопытство, становится жертвой. Самое опасное, что файл начинает распространяться по всем друзьям пользователя в Facebook. Так стартует полный цикл заражения.

Атака на Facebook

Загруженный файл уже с зловредами сохраняется и исполняется в папке TEMP ОС Windows%%. Но пользователь пока не замечает вредоносной деятельности. С целью обмануть второй раз, вирус даже отображает поддельное уведомление, объясняющее почему пользователь не может открыть картинку.  Жертва думает, что файл поврежден и, скорее всего, отправляет его прямиком в корзину, а в это время на ее компьютер в фоновом режиме устанавливается вредоносная программа. Как отметил Ральф Бенцмюллер, руководитель лаборатории безопасности G Data Labs, специалисты не смогли определить ее происхождение, так как область хостинга была уже подчищена хакерами. Также они использовали абсолютно легальный хостинг для временного размещения файлов. Но в компании смогли определить файл-загрузчик: троянская программа Trojan.Generic.KD.315917.

Специалисты G Data Software отвечают, что загружаемые зловреды могут быть любого вида и происхождения: от банковский торянов до клавиатурных шпионов, бэкдоров и прочее. Даже не смотря на то, что в способе заражения компьютера через троян-загрузчик нет ничего нового, из-за широкого охвата социальной сети такая атака может быть вполне существенной.

©  Ferra.ru