Microsoft предупреждает о появлении вредоносных Firefox- и Chrome-расширений, позволяющих злоумышленникам установить удаленный контроль над Facebook-профилем жертвы. Эксперты компании фиксируют рост ассоциированной с этими аддонами активности, который особо заметен в Бразилии. Зловред детектируется защитными решениями Microsoft как Trojan:JS/Febipos.A.

Как показал анализ, данный троянец ведет мониторинг активности жертвы, отслеживая сеансы связи с Facebook. Он пытается получить с веб-сайта <опущено>[,]info/sqlvarbr.php конфигурационный файл, содержащий список команд на дальнейшие действия. Febipos умеет размещать сообщения на стене профиля жертвы, регистрироваться в группах и завлекать в них других пользователей, участвовать в чатах и добавлять комментарии к сообщениям. На настоящий момент Microsoft обнаружила в профилях жертв лишь провокационные сообщения на португальском языке. Эти сообщения содержат ссылку на некий «видеоролик», якобы воспроизводящий сцену самоубийства из-за кибербуллинга. Facebook уже заблокировала эту ссылку как вредоносную. 

Febipos обладает функционалом дроппера и устанавливает в зараженной системе бэкдор. Сразу после инсталляции зловред обращается к домену du-pont.info и пытается получить обновление. При этом для Chrome он использует URL вида du-pont.info/updates/[опущено]/BL-chromebrasil[.]crx, для Firefox – du-pont.info/updates/[опущено]/BL-mozillabrasil[.]xpi. Дальнейшие действия Febipos и текст публикуемых им сообщений обусловлены содержимым конфигурационного файла, загружаемого с названного абзацем выше адреса. Один из сэмплов, обнаруженных исследователями, собрал на Facebook 2746 «лайков», был растиражирован 167 раз и получил 165 комментариев, что может свидетельствовать о немалом числе потенциальных жертв. В течение нескольких часов после предварительного анализа все эти показатели заметно выросли.

 Эксперты предупреждают, что новый троянец может оказаться крайне заразным: он может подменять шаблон сообщений, вредоносные URL, страницы Facebook и способен на многие другие проделки. Участникам социальной сети, использующим Internet Explorer, он, впрочем, не опасен.

 Google и Mozilla недавно ввели дополнительный уровень защиты от интернет-угроз, маскирующихся под браузерные расширения. В минувшем декабре Google анонсировала механизм, позволяющий блокировать установку расширений для Chrome в фоновом режиме. Ранее они загружались без вмешательства пользователя, с помощью особого механизма Windows, позволяющего устанавливать расширения вместе с другими приложениями. Такой порядок был удобен сторонним разработчикам, стремившимся любыми средствами расширить свою клиентскую базу. 

Отныне фоновый режим установки расширений для Chrome по умолчанию отключен. При попытке загрузки аддона пользователю воспроизводится диалоговое окно, сообщающее последствия такой загрузки для браузера и возможные риски. Новый механизм также автоматически отключает расширения, установленные ранее альтернативными способами.

 Mozilla, со своей стороны, с ноябрьским релизом Firefox 17 добавила в браузеры click-to-play функционал, предотвращающий запуск устаревших или уязвимых расширений и плагинов. Разработчики надеются таким образом оградить пользователей Firefox от эксплойтов, нацеленных на ранние версии плагинов, таких как Adobe Flash и Reader.

Категории: Вредоносные программы