Centrul Naţional de Răspuns la Incidente de Securitate Cicenetică (CERT-RO) informează că, în ultimele zile, utilizatorii bine-cunoscutei aplicaţii de mesagerie Facebook Messenger sunt vizaţi de o campanie de răspândire de malware prin intermediul unor mesaje care îi îndeamnă pe aceştia să acceseze un link (URL) către un aşa-zis video al unui prieten.
Descriere
Mesajele prin intermediul cărora se răspândesc diferite forme de malware au următoarele caracteristici:
Sunt trimise de către un prieten din reţeaua Facebook (acesta fiind la rândul său compromis); conţin numele celui care primeşte mesajul urmat de cuvântul „Video” şi un URL de forma http://bit.ly/[şir_de_caractere].
Accesarea link-ului respectiv duce către o pagină, care pare a fi un film ce poate fi rulat de către utilizator, găzduită într-una din platformele Google Drive sau Google Docs, având astfel un URL de forma: https://drive.google.com/file/d/[şir_de caractere]/preview; https://docs.google.com/file/d/[şir_de_caractere]/edit. Folosirea platformei Google pentru găzduirea acestor pagini are menirea de a spori încredere utilizatorilor în conţinut astfel încât să încerce să ruleze aşa zisul filmuleţ.
De asemenea, un alt element care sporeşte curiozitatea utilizatorilor este acela că pagina filmului afişează o imagine de tip preview preluată de pe pagina de Facebook a celui care a primit mesajul.
Odată ce apasă butonul „Play” pentru a rula filmul, utilizatorul este direcţionat către o platformă web care citeşte datele relevante despre sistemul acestuia (sistem de operare, browser etc.) şi utilizează aceste informaţii pentru a-l direcţiona în final către o pagină care serveşte o formă de malware dedicată sistemului acestuia.
Spre exemplu, dacă utilizatorul foloseşte browser-ul Google Chrome, va fi direcţionat către o extensie de browser maliţioasă, sub pretextul că trebuie să instaleze acea extensie pentru a putea viziona clipul.
Impact
Campania de faţă utilizează mai multe forme de malware, livrat în funcţie de sistemul informatic al victimelor şi are un scop încă nu foarte bine determinat.
Cert este că, odată instalată o extensie de browser maliţioasă, utilizatorii sunt expuşi la o serie de riscuri precum: divulgarea istoricului de navigare (browsing history) către atacatori, interceptarea de credenţiale pentru diferite platforme web, instalarea altor forme de malware fără cunoştinţa acestora, includerea în lanţul de distribuire a mesajelor maliţioase către prieteni etc.
Remediere
Utilizatorii sunt sfătuiţi să ignore astfel de mesaje şi să evite accesarea link-uri sau documentelor primite din surse necunoscute, prin intermediul canalelor de comunicare precum: email, SMS, Facebook Messenger, Whatsapp şi altele asemenea.
De asemenea, se recomandă o foarte mare atenţie la instalarea extensiilor pentru browser, în condiţiile în care în ultima perioadă a fost înregistrată o plajă foarte mare de extensii maliţioase.
În cazul în care ştiţi sau bănuiţi că sunteţi victima acestei campanii malware, vă sfătuim să urmaţi următorii paşi: verificaţi extensiile de browser şi dezinstalaţi-le pe cele care nu le folosiţi (sau nu ştiţi ce sunt, par suspecte etc.); utilizaţi o soluţe antivirus/antimalware pentru a scana sistemul şi pentru a elimina eventualele aplicaţii maliţioase/suspecte identificate; verificaţi dacă aţi trimis astfel de mesaje prietenilor. În cazul în care aţi făcut-o, avertizaţi-i să nu acceseseze respectivele mesaje.
