В ходе вредоносной кампании пользователь получает уведомление от Facebook якобы о том, что его упомянули в комментарии. Ссылка в таком сообщении служит стартером для закачки вредоносного ПО.
Многочисленная аудитория Facebook не могла не стать лакомым кусочком для киберпреступников. Как сообщается на сайте Information Security Stack Exchange, в настоящее время пользователей соцсети атакует вредоносное ПО, распространяющееся через Google Chrome.
В приложении Facebook или/и по электронной почте жертва получает уведомление о том, будто друг упомянул ее в комментарии. Кликнув на ссылку в сообщении, пользователь дает добро на загрузку вредоносного ПО. Сам по себе загруженный файл еще не представляет угрозы, тем не менее малоопытный пользователь может кликнуть на него и тем самым привнести в свою жизнь досаждающие неприятности.
Затрагивает ли вредоносная кампания какие-то браузеры, помимо Chrome, пока неизвестно. Вероятно, пользователи получают подобные уведомления от друзей в соцсети, чья учетная запись была скомпрометирована.
На сайте Information Security Stack Exchange данная кампания подверглась активному обсуждению. Один из аналитиков, принимающих участие в обсуждении, сообщил, что вредоносное ПО представляет собой типичный обфусцированный JavaScript-код, загружающий с помощью Windows Script Host остальную полезную нагрузку. «В данном случае он загружает расширения для браузера Chrome (manifest.json и bg.js), исполняемый файл Windows и скрипты, очевидно, содержащие некоторые виды вымогательского ПО. Чтобы не вызывать подозрений, все эти файлы, хранящиеся на сервере (скорее всего, скомпрометированном), имеют расширение .jpg», – пояснил аналитик.
Источник http://www.securitylab.ru/