Uwaga na nowy scam, który rozpowszechnia się poprzez czat na Facebooku. Jego skala wydaje się być spora, gdyż na redakcyjną skrzynkę co chwilę wpływają informację na temat tego “wirusa”. Poniżej opisujemy na czym polega atak i co zrobić, jeśli niestety w fałszywe zdjęcie od znajomego już kliknęliście…

UWAGA! Poniżej prezentujemy tylko 1 ze scenariuszy ataku, bazując na próbkach jakie posiadamy. Docierają do nas jednak informacje, że istnieją także inne warianty ataku, które przejmują kontrolę nad kontami ofiar bez konieczności instalowania im złośliwego rozszerzenia do przeglądarki lub szyfrują dysk twardy! Jeśli ktoś dysponuje taką próbką, prosimy o kontakt

Na czym polega atak?

W trakcie rozmowy na Messengerze możecie otrzymać od znajomego takie “zdjęcie”:

Wszystkie przesyłane przez robaka złośliwe pliki póki co zawsze mają następującą postać nazwy: photo_XXXX.svg, sugerując tym samym, że są zdjęciem. Niestety, jest to plik .svg, który po pobraniu i uruchomieniu w przeglądarce ofiary uruchamia następujący skrypt:

Wynikiem działania skryptu jest przekierowanie ofiary najpierw na adres hxxp://govahoyuge.itup.pw/php/trust.php, a potem na losowe subdomeny wedle poniższego formatu:

hxxp://ecadutaro.yadozalamom.pw/oseboma.html

hxxp://mitobeb.yadozalamom.pw/fineboz.html

hxxp://ibaveh.yadozalamom.pw/urisur.html

Pod nimi kryje się fałszywa strona podszywająca się pod YouTube, która informuje ofiarę, że do zobaczenia filmu potrzebny jest odpowiedni “kodek video”:

…i uczynnie podstawia do pobrania złośliwy dodatek do przeglądarki. Dla przeglądarki Chrome jest to:

hxxps://chrome.google.com/webstore/detail/ubo/jegjfinhocnmomhpgmnbjambmgbifjbg/

Dodatek, jak widać, zyskuje pełne uprawnienia do wszystkich otwieranych w przeglądarce stron i odpowiada za dalszą propagację ataku z kont ofiary, ale także wykradanie danych.

Niektóre z ofiar widzą, że ktoś przejmuje ich konto i aby “odciąć ofiarę”, ustawia na nim swój telefon komórkowy, włączając dwuskładnikowe uwierzytelnienie (fot. od jednego z czytelników):

Kod złośliwego rozszerzenia jeszcze jest przez nas analizowany, ale już teraz możemy przekazać kilka porad.

Otworzyłem zdjęcie — co robić, jak żyć?

Jeśli zainstalowałeś w swojej przeglądarce ten dodatek, nie będziesz w stanie go usunąć bezpośrednio z przeglądarki. Niestety, dodatek zamyka stronę z ustawieniami (starając się nie dopuścić do jego usunięcia). Dlatego dodatek trzeba usunąć ręcznie. Poniżej przykład dotyczący przeglądarki Chrome:

Udaj się do katalogu przeglądarki w systemie:

Windows 7, 8.1, and 10:

C:\Users\ \AppData\Local\Google\Chrome\User Data\Default

Mac OS X El Capitan:

Users/ /Library/Application Support/Google/Chrome/Default

Linux:

/home/ /.config/google-chrome/default

A potem WYŁĄCZ przeglądarkę i dopiero wtedy przejdź do katalogu “Extensions” oraz usuń katalog o nazwie “jegjfinhocnmomhpgmnbjambmgbifjbg“. Zweryfikuj też, czy ten katalog nie znajduje się również w profilu innym niż domyślny (pojawia się, jeśli w Chrome jest wielu użytkowników).

Dobrym pomysłem będzie unieważnić aktywne sesje do wszystkich serwisów internetowych, w jakich byłeś zalogowany w przeglądarce (wyloguj się z każdego z nich) i dmuchając na zimne — zmień do nich hasła.

Jak informują inni badacze, jeśli otworzyłeś to zdjęcie w systemie Windows, w przeglądarce innej niż Chrome NATYCHMIAST wyłącz komputer i doczytaj ten artykuł z innego urządzenia. Jest bowiem spora szansa na to, że twój dysk twardy jest teraz szyfrowany i jeśli nie masz backupów, będziesz musiał zapłacić przestępcom za jego odszyfrowanie!

Na koniec, ostrzeż też swoich znajomych, przekazując im link do tego artykułu. Możesz nawet nie zdawać sobie sprawy, że w Twoim imieniu robak przesłał im złośliwe “zdjęcia” z Twojego konta.

Jeśli chciałbyś dowiedzieć się jak szybko i efektywnie analizować złośliwe oprogramowanie, które codziennie wpada na skrzynki pracowników w Twojej firmie, zapraszamy na nasze szkolenie z “Analizy Malware’u” , skierowane do administratorów systemów IT. Na grudniowy termin mamy jeszcze kilka wolnych miejsc :)

Dziękujemy czytelnikom, którzy zgłosili nam ww. atak, a zwłaszcza Bazylemu, Karolowi i Witowi

Przeczytaj także: