Вбудований додаток Facebook ставить під загрозу безпеку користувачів
З метою розповсюдження шкідливого пз кіберзлочинці створили в соціальній мережі Facebook безліч тематичних груп з назвою Videos Mega або Mega Videos: на 5 лютого 2013 року їх загальна чисельність досягала декількох сотень. У кожній з таких груп зловмисники розмістили замасковану під відеоролик посилання на вбудований додаток соціальної мережі, що дозволяє вбудовувати в веб сторінку довільний HTML-код. Відвідувач групи, бажаючи переглянути провокаційне відео, клацав мишею на мініатюрі відеоролика, активуючи тим самим заздалегідь створений кіберзлочинцями сценарій. В результаті цієї дії на екрані з ’ явиться вікно з пропозицією відновити вбудований браузер відеопрогравач, причому оформлення даного вікна копіює дизайн сторінок соціальної мережі Facebook.
Якщо користувач погоджується встановити оновлення, на його комп'ютер завантажується саморозпаковується, що містить шкідливу програму Trojan.DownLoader8.5385. При цьому троянець (як і інші файли їм компоненти) має легітимну цифровий підпис, видану на ім'я фірми Updates LTD компанією Comodo, тому в процесі своєї установки шкідливі програми не викликають підозри у операційної системи.
Trojan.DownLoader8.5385 - це традиційний троянець-завантажувач, основне завдання якого полягає у завантаженні на заражений комп'ютер і запуску іншого шкідливого пз. В даному випадку троянець завантажує плагіни для браузерів Google Chrome і Mozilla Firefox, призначені для масового розсилання запрошень в різні групи Facebook, а також для автоматичного встановлення позначок Like в цій соціальній мережі. Серед іншого ці шкідливі компоненти мають наступні функціональні можливості:
- отримувати дані про користувачів Facebook, занесених до списку друзів жертви,
- встановлювати позначку Like на сторінці соціальної мережі або на зовнішній ключ,
- відкривати доступ до фотоальбому на певної сторінки
- вступати в групи,
- розсилати користувачам зі списку друзів запрошення на вступ до групи,
- публікувати посилання на «стіни» користувачів,
- змінювати статус,
- відкривати вікна чату,
- приєднуватися до сторінок заходів,
- розсилати користувачам запрошення на заходи,
- публікувати коментарі до постів,
- отримувати і відправляти пропозиції.
Конфігураційний файл з усіма необхідними для роботи плагінів даними завантажується на заражений ПК з належного зловмисникам сервера. Зазначені плагіни детектуються антивірусним пз Dr.Web як Trojan.Facebook.310.
Крім цього Trojan.DownLoader8.5385 встановлює на комп'ютер інфікований шкідливу програму BackDoor.IRC.Bot.2344, здатну об'єднувати заражені робочі станції в ботнети. Цей троян реалізує функції бекдор і здатний виконувати різні команди, передані йому з використанням протоколу обміну текстовими повідомленнями IRC (Internet Relay Chat), для чого бот підключається до спеціально створеного зловмисниками чат-каналу. Серед директив, які здатний виконувати BackDoor.IRC.Bot.2344, можна відзначити наступні:
- виконання команд інтерпретатора командного CMD,
- можливість завантажувати файл заданого URL і помістити його в зазначену локальну папку,
- перевіряти, чи запущено зазначений у команді процес,
- передавати на віддалений сервер список запущених процесів, отриманий з використанням стандартної утиліти tasklist.exe,
- зупиняти зазначений процес,
- запускати довільну програму,
- завантажити з вказаного URL і встановлювати плагін для браузера Google Chrome.
Таким чином можна зробити висновок, що поточна політика безпеки вбудованих додатків Facebook сприяє поширенню троянських програм. Всі зазначені шкідливі програми додані в вірусні бази і тому не представляють небезпеки для користувачів антивірусних продуктів Dr.Web. Компанія «Доктор Веб» закликає проявляти обережність при відвідуванні груп у соціальній мережі Facebook та встановити на свій комп'ютер тільки оновлення, завантажені з надійних джерел.