По просторам самой крупной соцсети Facebook разгуливает троян, заразивший около 110 тыс. пользователей за два дня.

Зловред распространяется, публикуя ссылки на порноролик в профилях жертв заражения. Подобные публикации обычно адресуются лишь помеченным друзьям из френдлиста жертвы, общим числом не более 20. Если пользователь пройдет по ссылке, видео начинает проигрываться, затем внезапно останавливается, и появляется предложение установить апдейт для Flash Player, который на самом деле содержит троянский загрузчик.

Предварительное расследование, детали которого были опубликованы через список рассылки Full Disclosure ИБ-исследователем Мохаммедом Фагани (Mohammad Faghani), показало, что целевой зловред может симулировать нажатие клавиш и движение мышью. Одним из симптомов заражения является наличие в системе процесса Chrome.exe.

В отличие от прежних троянов для Facebook, зачастую распространявшихся через частные сообщения между друзьями, этот использует технику, которую Фагани назвал Magnet («Магнит»). Поскольку данный зловред адресует вредоносные посты множеству пользователей, публикуемый им контент становится виден не только указанным читателям, но и их друзьям. Это, по словам Фагани, обеспечивает высокие темпы распространения.

Фагани еще не закончил анализ этой угрозы и обещает опубликовать все последующие находки на Full Disclosure.

Поддельный Flash Player имеет MD5 хэш «cdcc132fad2e819e7ab94e5e564e8968» и SHA1 хэш «b836facdde6c866db5ad3f582c86a7f99db09784». Фагани отметил, что вредоносный файл загружает chromium.exe, wget.exe, arsiv.exe и verclsid.exe, а также пытается соединиться с адресами www[точка]filmver[точка]com и www[точка]pornokan[точка]com.

Специалисты Facebook в курсе происходящего и стараются остановить дальнейшее распространение зловреда, блокируя вредоносные ссылки. «Мы используем ряд автоматизированных систем для обнаружения потенциально опасных ссылок и ограничения их распространения, — заявил журналистам Threatpost представитель Facebook. — Мы знакомы с подобными вариациями зловредов, которые обычно выдаются за надстройки браузеров и распространяются через ссылки в соцсетях. Мы блокируем ссылки на вредоносные ресурсы, предлагаем варианты очистки системы и принимаем прочие меры для того, чтобы Facebook можно было комфортно и безопасно использовать».

Категории: Вредоносные программы