Порнографічне зловмисне програмне забезпечення впливає на facebook, послуги Amazon та box

Новий тип зловмисного програмного забезпечення, яке поширюється через Facebook, також може заразити інші сервіси, такі як Amazon, Box та URL-адрес для скорочення Ow.ly. Хробака виявили лабораторії безпеки Malwarebytes і поширювались через підозрілі посилання на порносайти.

Зловмисне програмне забезпечення є частиною родини Kilim, яка здатна заражати Google Chrome небажаними плагінами, здатна використовувати профілі користувачів у соціальних мережах, щоб користуватися та ділитися сторінками без дозволу користувача. Цей тип хробака поширюється через браузер із помилковими встановниками або Adobe Flash Player та Google Update .

Ця варіація використовує обіцянку порнографічного матеріалу, який можна завантажити з веб-сайтів. Назва завантаженого файлу - videos_New.mp4_2942281629029.exe, яка намагається пройти відео, але насправді є шкідливим виконуваним файлом. Заражені жертви намагаються поширити хробака на свої контакти чи групи, розміщуючи порнографічні повідомлення із посиланнями на Ow.ly.

За лаштунками злочинці мають архітектуру шарів переадресації, яка використовує переспрямовувач, Amazon та хмарну скриньку для зберігання. Кінцевий результат залежить від команди, яка натискає на посилання. Мобільні пристрої переспрямовуються на афілійовані веб-сайти, які використовуються для відображення випадкових пропозицій.

У випадку настільних комп'ютерів, крім перенаправлення, розширення буде встановлено в Chrome і створить ярлик до браузера, який використовується для запуску шкідливої ​​програми, коли вона відкрита. Ця тактика дозволяє злочинцям обійти захист браузера за допомогою компрометованої версії.

Повний шлях посилання проходить через низку переадресацій. Перша з них, Ow.ly, переспрямовує до другої ланки скорочувача URL. Це, у свою чергу, приводить користувача до перенаправлення Amazon, що врешті-решт призводить до шкідливого сайту. Цей сайт перевіряє комп’ютери та перенаправляє їх на основі пристрою користувача. Наприклад, настільні комп’ютери переносяться на Box.com, де завантажується шкідливий файл.

На думку компаній, відповідальних за те, що зловмисні програми вже були поінформовані про проблему, а кілька URL-адрес заблоковані та порушені. Компанія просить користувачів бути обережними та уникати натискання на посилання, які обіцяють призи або безкоштовні товари.