Facebookon keresztül zsebeli ki a felhasználókat egy új trójai

Egy trójai program a Facebook és az Amazon felhasználóit szemelte ki magának, akiktől értékes adatokat lovasít meg. Minden egy hamis PDF-kezelő alkalmazással kezdődik.
 

A trójai programok gyakorta jelennek meg olyan szoftverek formájában, amelyek népszerű fájlformátumok (például PDF) kezelésére alkalmasak, legalábbis látszólag. Ezzel széles körű támadásokat indíthatnak, és nagyobb valószínűséggel tudják rávenni a felhasználókat az amúgy igencsak káros telepítések elvégzésére. Pontosan ezt az alattomos taktikát követi az a trójai program is, amelyet Vitali Kremez, a MalwareHunterTeam egyik biztonsági kutatója vett alaposan szemügyre.
 
A biztonsági szakember szerint egy olyan (PDFreader nevű alkalmazásnak álcázott) károkozóról van szó, amely funkcionalitásában hasonlít jónéhány adatlopó trójai programra. Például a Socelars, az AdKoob és a Stresspaint károkozók is meglehetősen közel állnak hozzá, ugyanakkor a kódszintű vizsgálatok azt támasztották alá, hogy inkább egy új szerzeményről van szó, mintsem egy korábbi, módosított vírusról.
 
Érzékeny célpontok
 
Az új trójai legfontosabb jellegzetessége, hogy a jelenlegi változata elsősorban a Facebook felhasználók adataira pályázik, közülük is azokat "kedveli" leginkább, akiknek Ads Manager hozzáférése is van. Vagyis a facebookos hirdetések menedzselésére szolgáló oldal kerül a támadások középpontjába.
 
A kártevő először a Google Chrome, illetve a Mozilla Firefox webböngészőkből kigyűjti a munkamenetekhez tartozó süti (cookie) adatokat. Mindezt nemes egyszerűséggel a sütik tárolására szolgáló SQLite adatbázis megnyitásával és szűrésével teszi meg. Ha pedig ráakad munkameneti azonosítókra, akkor megpróbál azokkal visszaélni. A háttérben egy Facebook Graph API lekérdezést indít, amellyel a felhasználó Ads Manager fiókjába beállított adatait kérdezi le. Egyebek mellett a következő információkat zsebelheti be ezáltal:

• fiókazonosító
• e-mail cím
• kapcsolódó oldalak
• hitel- és bankkártya adatok
• PayPalhoz tartozó e-mail cím
• Facebook-egyenleg és költések.

 
Azt egyelőre a biztonsági kutató is csak találgatja, hogy mi lehet az Ads Managerre épülő adatlopás hátterében, de elképzelhető, hogy az elkövetők már a jövő évi amerikai elnökválasztási kampányban minden bizonnyal elszabaduló hirdetésáradatra készülnek.
 
Következik az Amazon
 
A trójai a Facebook mellett az Amazon felhasználók adatait sem veti meg. Ez esetben is munkameneti azonosítókat igyekszik gyűjteni, illetve kiszivárogtatni. Ekkor azonban a fertőzött számítógépről nem végez extra lekérdezéseket, ehelyett a támadókra bízza, hogy mit kezdenek az értékes információkkal.
 
A trójai ellen leginkább megfontolt alkalmazásletöltéssel és naprakészen tartott víruskeresőkkel lehet védekezni.