Facebookon keresztül zsebeli ki a felhasználókat egy új trójai

Egy trójai program a Facebook és az Amazon felhasználóit szemelte ki magának, akiktől értékes adatokat lovasít meg. Minden egy hamis PDF-kezelő alkalmazással kezdődik.
 

A trójai programok gyakorta jelennek meg olyan szoftverek formájában, amelyek népszerű fájlformátumok (például PDF) kezelésére alkalmasak, legalábbis látszólag. Ezzel széles körű támadásokat indíthatnak, és nagyobb valószínűséggel tudják rávenni a felhasználókat az amúgy igencsak káros telepítések elvégzésére. Pontosan ezt az alattomos taktikát követi az a trójai program is, amelyet Vitali Kremez, a MalwareHunterTeam egyik biztonsági kutatója vett alaposan szemügyre.
 
A biztonsági szakember szerint egy olyan (PDFreader nevű alkalmazásnak álcázott) károkozóról van szó, amely funkcionalitásában hasonlít jónéhány adatlopó trójai programra. Például a Socelars, az AdKoob és a Stresspaint károkozók is meglehetősen közel állnak hozzá, ugyanakkor a kódszintű vizsgálatok azt támasztották alá, hogy inkább egy új szerzeményről van szó, mintsem egy korábbi, módosított vírusról.
 
Érzékeny célpontok
 
Az új trójai legfontosabb jellegzetessége, hogy a jelenlegi változata elsősorban a Facebook felhasználók adataira pályázik, közülük is azokat "kedveli" leginkább, akiknek Ads Manager hozzáférése is van. Vagyis a facebookos hirdetések menedzselésére szolgáló oldal kerül a támadások középpontjába.
 
A kártevő először a Google Chrome, illetve a Mozilla Firefox webböngészőkből kigyűjti a munkamenetekhez tartozó süti (cookie) adatokat. Mindezt nemes egyszerűséggel a sütik tárolására szolgáló SQLite adatbázis megnyitásával és szűrésével teszi meg. Ha pedig ráakad munkameneti azonosítókra, akkor megpróbál azokkal visszaélni. A háttérben egy Facebook Graph API lekérdezést indít, amellyel a felhasználó Ads Manager fiókjába beállított adatait kérdezi le. Egyebek mellett a következő információkat zsebelheti be ezáltal:
  • fiókazonosító
  • e-mail cím
  • kapcsolódó oldalak
  • hitel- és bankkártya adatok
  • PayPalhoz tartozó e-mail cím
  • Facebook-egyenleg és költések.
 
Azt egyelőre a biztonsági kutató is csak találgatja, hogy mi lehet az Ads Managerre épülő adatlopás hátterében, de elképzelhető, hogy az elkövetők már a jövő évi amerikai elnökválasztási kampányban minden bizonnyal elszabaduló hirdetésáradatra készülnek.
 
Következik az Amazon
 
A trójai a Facebook mellett az Amazon felhasználók adatait sem veti meg. Ez esetben is munkameneti azonosítókat igyekszik gyűjteni, illetve kiszivárogtatni. Ekkor azonban a fertőzött számítógépről nem végez extra lekérdezéseket, ehelyett a támadókra bízza, hogy mit kezdenek az értékes információkkal.
 
A trójai ellen leginkább megfontolt alkalmazásletöltéssel és naprakészen tartott víruskeresőkkel lehet védekezni.
Vélemények
 
  1. 4

    A Foxit Reader és a PhantomPDF szoftverek fontos biztonsági hibajavításokkal gyarapodtak.

  2. 4

    A Google ismét jelentős mennyiségű biztonsági frissítéssel rukkolt elő az Android operációs rendszer kapcsán.

  3. 1

    A Devilshadow trójai sok funkcióval képes támogatni a kiberbűnözők által végrehajtott károkozásokat.

 
Partnerhírek
Az ESET kutatói feltérképezték a katonai és diplomáciai célpontokat támadó InvisiMole csoport működését

Az InvisiMole új kampányát vizsgálva az ESET kutatóinak sikerült feltárniuk a csoport frissített eszközkészletét, valamint a Gamaredon hackercsoporttal való szoros együttműködésük részleteit is.

​LinkedIn-en keresztül támadó hackereket lepleztek le az ESET kutatói

Álláshirdetésnek álcázott adathalász támadásokat lepleztek le az ESET kutatói, melyek vélhetően az észak- koreai illetőségű Lazarus csoporthoz köthetők.

hirdetés
Közösség