Facebookon keresztül zsebeli ki a felhasználókat egy új trójai

Egy trójai program a Facebook és az Amazon felhasználóit szemelte ki magának, akiktől értékes adatokat lovasít meg. Minden egy hamis PDF-kezelő alkalmazással kezdődik.
 

A trójai programok gyakorta jelennek meg olyan szoftverek formájában, amelyek népszerű fájlformátumok (például PDF) kezelésére alkalmasak, legalábbis látszólag. Ezzel széles körű támadásokat indíthatnak, és nagyobb valószínűséggel tudják rávenni a felhasználókat az amúgy igencsak káros telepítések elvégzésére. Pontosan ezt az alattomos taktikát követi az a trójai program is, amelyet Vitali Kremez, a MalwareHunterTeam egyik biztonsági kutatója vett alaposan szemügyre.
 
A biztonsági szakember szerint egy olyan (PDFreader nevű alkalmazásnak álcázott) károkozóról van szó, amely funkcionalitásában hasonlít jónéhány adatlopó trójai programra. Például a Socelars, az AdKoob és a Stresspaint károkozók is meglehetősen közel állnak hozzá, ugyanakkor a kódszintű vizsgálatok azt támasztották alá, hogy inkább egy új szerzeményről van szó, mintsem egy korábbi, módosított vírusról.
 
Érzékeny célpontok
 
Az új trójai legfontosabb jellegzetessége, hogy a jelenlegi változata elsősorban a Facebook felhasználók adataira pályázik, közülük is azokat "kedveli" leginkább, akiknek Ads Manager hozzáférése is van. Vagyis a facebookos hirdetések menedzselésére szolgáló oldal kerül a támadások középpontjába.
 
A kártevő először a Google Chrome, illetve a Mozilla Firefox webböngészőkből kigyűjti a munkamenetekhez tartozó süti (cookie) adatokat. Mindezt nemes egyszerűséggel a sütik tárolására szolgáló SQLite adatbázis megnyitásával és szűrésével teszi meg. Ha pedig ráakad munkameneti azonosítókra, akkor megpróbál azokkal visszaélni. A háttérben egy Facebook Graph API lekérdezést indít, amellyel a felhasználó Ads Manager fiókjába beállított adatait kérdezi le. Egyebek mellett a következő információkat zsebelheti be ezáltal:
  • fiókazonosító
  • e-mail cím
  • kapcsolódó oldalak
  • hitel- és bankkártya adatok
  • PayPalhoz tartozó e-mail cím
  • Facebook-egyenleg és költések.
 
Azt egyelőre a biztonsági kutató is csak találgatja, hogy mi lehet az Ads Managerre épülő adatlopás hátterében, de elképzelhető, hogy az elkövetők már a jövő évi amerikai elnökválasztási kampányban minden bizonnyal elszabaduló hirdetésáradatra készülnek.
 
Következik az Amazon
 
A trójai a Facebook mellett az Amazon felhasználók adatait sem veti meg. Ez esetben is munkameneti azonosítókat igyekszik gyűjteni, illetve kiszivárogtatni. Ekkor azonban a fertőzött számítógépről nem végez extra lekérdezéseket, ehelyett a támadókra bízza, hogy mit kezdenek az értékes információkkal.
 
A trójai ellen leginkább megfontolt alkalmazásletöltéssel és naprakészen tartott víruskeresőkkel lehet védekezni.
Vélemények
 
  1. 3

    A Moodle-ban felfedezett sebezhetőség XSS-típusú támadásokat tehet lehetővé.

  2. 4

    A Cisco számos hibajavítást tett elérhetővé az IOS XR-hez.

  3. 1

    Az Anchor.A trójai elsősorban azzal tud problémákat okozni, hogy egyéb károkozókat juttat fel a számítógépekre.

 
Partnerhírek
Ingyenes eszközt fejlesztett az ESET a BlueKeep sebezhetőség ellenőrzésére

Az ESET nemrég kiadott egy ingyenes BlueKeep (CVE-2019-0708) eszközt annak ellenőrzésére, hogy a Windows operációs rendszert futtató számítógép védett-e a sérülékenység kihasználása ellen.

iPhone és adathalászat

A most bemutatott eset úgy kezdődött, hogy egy felhasználó kapott egy sms-t, amely értesítette arról, hogy elveszített iPhone X készüléke milyen címen található. Az üzenetben egy link is volt, amelyre kattintva elvileg meg lehetett tekinteni a készülék helyét – a gyakorlatban viszont egy adathalász oldalhoz tartozott, amely ellopta a látogatók iCloud azonosítóit.

hirdetés
Közösség
1