«Доктор Веб» зафиксировал новую атаку на пользователей Facebook

Безопасность Пользователю Интернет Веб-сервисы
мобильная версия
, Текст: Татьяна Короткова

Аналитики компании «Доктор Веб» выяснили, что созданный вирусописателями плагин для браузера Google Chrome, способный рассылать спам в Facebook, на сегодняшний день установили более 12 тыс. пользователей этой социальной сети. Об этом CNews сообщили в «Доктор Веб».

Вредоносный плагин для Google Chrome детектируется антивирусом Dr.Web под именем Trojan.BPlug.1074. Если пользователь Chrome, у которого установлен этот плагин, войдет в социальную сеть Facebook, Trojan.BPlug.1074 определяет его идентификатор (UID) и вносит изменения в оформление сайта социальной сети в окне браузера: удаляет меню «Быстрые настройки конфиденциальности», открывающееся нажатием на кнопку в верхней правой части окна Facebook, а также все остальные выпадающие меню, которые могут демонстрироваться в интерфейсе социальной сети. Затем троян получает перечень друзей жертвы.

После этого, Trojan.BPlug.1074 автоматически создает новую страницу сообщества, название которой генерируется автоматически. С использованием ID сообщества, фотографии жертвы, установленной в качестве аватара, и адреса веб-страницы, извлекаемого из конфигурационного файла, троян формирует пост формата «поделиться ссылкой» и с определенным временным интервалом размещает его в своей ленте. Поскольку троян при создании поста «упоминает» в нем всех друзей текущего пользователя из полученного ранее списка, это сообщение также появляется в их ленте событий.

При переходе по ссылке, указанной в таком сообщении, пользователь Facebook попадает на веб-страницу, копирующую внешний вид этой социальной сети (если переход осуществляется с какого-либо другого сайта, посетитель перенаправляется на пустую веб-страницу).

Эта страница содержит заголовок «Hello please watch my video», под которым размещается якобы стандартный компонент видеопроигрывателя. Если посетитель использует браузер Chrome, при попытке просмотреть этот видеоролик на экране появится диалоговое окно, в котором ему будет предложено загрузить и установить плагин для браузера. Этот плагин также является копией трояна Trojan.BPlug.1074.

Аналогичным образом Trojan.BPlug.1074 может распространять и другие плагины для браузера Google Chrome, рассказали в компании.

Антивирус Dr.Web обнаруживает и удаляет этого трояна, однако специалисты «Доктор Веб» дополнительно рекомендуют пользователям проявлять осмотрительность и не устанавливать расширения к браузеру, даже если их предлагает загрузить Facebook.