Fertőző YouTube-bővítmény terjed a Facebook Messengeren
Már 1762 felhasználó fertőzödött meg…

Közel egy évvel ezelőtt írtunk egy önmagát Facebook Messengeren, hamis „videók” útján terjesztő kártevőről, ami rövid idő alatt letarolta a magyar internetet. Most úgy tűnik, hogy egy új kártevő, a Denizan próbálkozik hasonló módszerrel.

Denizan Facebook virus 0

A kártevő böngészőbővítményként van jelen a fertőzött számítógépeken és a Messengerben elérhető ismerősök számára küldözgeti szét magát egy videómegosztós trükkel. Az ismerősök egy linket kapnak, ami a Messengerben látható előnézetében arra utal, hogy az adott ismerősről valamilyen videó került fel az internetre. Az ismerősök, mint potenciális áldozatok a linkre kattintva (néhány automatikus oldal átirányítás után) egy hamis YouTube-oldalra jutnak, ahol a videónak álcázott kép nem indul el automatikusan. Mivel a felhasználók kíváncsiak, szinte biztosan rá fognak kattintani a videóra.

Denizan Facebook virus 1

A kattintás után felugrik egy böngészőértesítés, miszerint telepíteni kellene egy böngészőbővítményt – ami mellett szintén a YouTube logója látható. A gyanútlan felhasználók azt fogják hinni, hogy a YouTube valamilyen böngészőkomponenst hiányol a videó lejátszásához, így egyetlen kattintással fel is telepítik az önmagát terjesztő programot, ami szintén elvégzi a folyamatot az aktuális áldozat ismerőseivel.

A bővítményt alaposabban is vizsgálat alá helyeztük, mely során a korábbi videós vírushoz hasonló stílusjegyeket véltünk felfedezni: az elkövetők számos feltört weboldallal, egymás utáni átirányításokkal töltik be a böngészőbe a weboldalak manipulálására alkalmas webes kódokat. Ezúttal viszont nem facebookos megosztásokkal, hanem Messenger üzenetekkel terjesztették el a kártevőt.

Denizan Facebook virus 2

Denizan Facebook virus 3

Sajnos a vizsgálat közben az egyik kulcsfontosságú komponens elérhetetlenné vált, így csak sejteni lehet, hogy a kártevő a terjedés mellett úgynevezett cryptojacking támadást hajtott végre az áldozatok böngészőjében, amely során kriptobányász kódot injektált a meglátogatott weboldalak kódjának fejlécébe, hogy a fertőzött számítógépek a kiberbűnözők számára termeljék a digitális pénzt.

Érdemes legalább havi rendszerességgel ellenőriznünk a böngészőnk bővítményeinek listáját. Ha az általunk használt bővítmények (pl.: reklámblokkoló, VPN, stb.) mellett olyanokat is látunk, amiket nem mi telepítettünk, vagy amiknek nem ismerjük a pontos funkcióját, távolítsuk el! A böngészők alapértelmezetten bővítmények nélkül érkeznek, tehát ha sosem telepítettünk manuálisan bővítményt, a listának üresnek kellene lennie.

Frissítés: A vizsgálat során jelentettük a Google felé a problémás Google Chrome bővítményt, ami után néhány órával a Chrome Web Store adminjai törölték a bővítményt, de még így is 1762 felhasználót sikerült megfertőznie. Ezzel a lépéssel elhárult az aktuális fenyegetettség, viszont a támadók még így is találhatnak módot a terjesztés folytatására a már fertőzött gépek segítségével.


A cikk másodközlése kizárólag kattintható forrásmegjelöléssel engedélyezett!

További cikkek

Webes és hálózati sérülékenységvizsgálat

Zsarolóvírusok eltávolítása és adat-visszaállítás

Cyber Threat Intelligence
riasztások

Incidensvizsgálat és nyomelemzés

DoS, DDoS támadás, terhelésteszt

Social engineering, biztonságtudatosság

Fájlok visszaállítása és végleges törlése

Hackertámadás elleni védelem

IT biztonsági tanácsadás és oktatás

Védelmi és vizsgálati termékek

Fájlok és adattárolók „törhetetlen” titkosítása

Antivírus megoldások PC-re és mobil eszközökre

Kibersuli gyerekeknek
az internet veszélyeiről

Általános kiberbiztonsági fogalomtár

Webes és hálózati sérülékenységvizsgálat

Incidensvizsgálat és nyomelemzés

Zsarolóvírusok eltávolítása és adat-visszaállítás

Cyber Threat Intelligence
riasztások

DoS, DDoS támadás, terhelésteszt

Social engineering, biztonságtudatosság

Hackertámadás elleni védelem

Megosztás