Ένα νέο Trojan που κυκλοφορεί από χθες στο Facebook έχει καταφέρει να διαδοθεί σε πάνω από 110.000 υπολογιστές μόλις σε δύο ημέρες. Ο ερευνητής security Mohammad Reza Faghani reports that his fast transmission trojan serve tags that add and include friends of the victim. Scams with Tags are not new, but they are recently used with increased frequency.
The malicious message includes fake porn video που αν κάποιος ανυποψίαστος κάνει κλικ για να το παρακολουθήσει, θα οδηγηθεί σε μια σελίδα για την προβολή του. Το βίντεο θα διακοπεί λίγα δευτερόλεπτα μετά την έναρξη του, ζητώντας από τον θεατή να κατεβάσει ένα κακόβουλο αρχείο που υποτίθεται ότι είναι μια ενημερωμένη έκδοση του Flash Player για να μπορέσει να παρακολουθήσει το υπόλοιπο κλιπ. Η διαδικασία λήψης ξεκινά αυτόματα.
Ο Mohammad Reza Faghani who discovered fraud, reports that the number of victims is on the rise.
The cybercriminals behind the Trojan, he says, use a very aggressive distribution method, which the researcher called "Magnet," or a magnet. The method allows friends of the victim's friends to see the malicious publication.
In earlier cases, the original victim could only send the malicious message to his friends, and only if they were infected could the fraud be transmitted to their contacts.
A brief analysis of the Trojan shows that the fake Flash Player update uses several executable file names (chromium.exe, wget.exe, arsiv.exe, verclsid.exe) stored in a hacked system.
As for its functionality, Faghani reports that malware takes control of the mouse and the keyboard of the victim.
According to information from Faghani, the two domains containing the Trojan were first registered in October 2014. One of them, pornokan[.]com, uses a server located in Amsterdam (digitalocean Amsterdam) και η IP του άλλου (filmver [.] com) δείχνει στο δίκτυο της Cloudflare. Και στις δύο ο πάροχος των domains είναι η εταιρεία FBS INC, από Τουρκία, η οποία προσφέρει services registration of domain names.
An analysis by BitDefender concluded that the scammer was of Turkish origin and used the online nickname "schwarzback."
Beware, therefore, because malicious messages are still circulating, according to the researcher.
