2013年8月1日 星期四

別再點Facebook流傳「15 歲少女露胸後自殺」影片了,免得駭人又駭己!!

別再點Facebook流傳「15 歲少女露胸後自殺」影片了,免得駭人又駭己!!

最新 facebook 病毒利用瀏覽器附加功能來劫持社群媒體帳號

近日Facebook 流傳「15 歲少女露胸後自殺」影片截圖,中毒者會被冒名發文然後標籤 20 個以上的朋友,雖然是老梗還是很多人因為聳動的標題,而中了社交工程陷阱( Social Engineering) 。它的目標是Google Chrome和Mozilla Firefox的使用者。這個威脅利用這兩種瀏覽器的擴充功能來滲透進使用者電腦,並劫持Facebook、Google+和Twitter等社群媒體帳號。

FB15歲少女露兇後自殺

為了讓受駭者安裝這些假擴充功能,駭客在社群網站上看到各式各樣的誘餌,比如「15 歲少女露胸後自殺」影片截圖,當被害人忍不住誘惑,點了連結會被導引安裝一個假影片播放軟體更新程式,這時如果你還沒感覺異狀,很”勇敢”的安裝該播放軟體更新程式,就會中了木馬TROJ_FEBUSER.AA,該病毒會根據目前所使用的瀏覽器來安裝瀏覽器附加程式。

趨勢科技在Google Chrome上所看到的一個早期版本被偵測為JS_FEBUSER.AA,自稱是Chrome Service Pack 5.0.0。如果是Mozilla Firefox的話,假附加程式是Mozilla Service Pack 5.0。

圖一、惡意附加程式所使用的名稱

Google Chrome已經將這個外掛程式標記為惡意。它的新版本被偵測為JS_FEBUSER.AB,自稱是F-Secure Security 6.1.0(Google Chrome)和F-Secure Security Pack 6.1(Mozilla Firefox)。

圖二、用於新版惡意檔案的名稱

 一旦安裝成功,它會連到一個惡意網址下載一個設定檔。它使用該設定檔的的詳細資訊來劫持使用者的社群網站帳號,並且在未經授權下進行下列動作:

●在網頁上按讚
●分享文章
●加入社團
●邀請朋友到社團
●與朋友聊天
●發表留言
●更新近況

這個威脅試圖在三個不同的社群網站上進行上述行為:Facebook、Google+和Twitter。也因為如此,攻擊者可以有效地劫持使用者帳號,例如,用它們來散播連到其他惡意網站的連結。

還有一點要注意的是:假的影片播放軟體更新程式有經過數位簽章過。數位簽章是開發者和發行者用來證明該檔案沒有被篡改過的方法。潛在受害者可能會因為如此而去相信這檔案是正常而無害的。

圖三、惡意影片播放軟體更新程式的有效數位簽章

再次提醒使用者小心注意這類詐騙活動。網路犯罪份子總是會做出更好、更容易說服人的誘餌,甚至會利用正常服務或使用者來讓自己顯得沒有問題。

已經中毒者怎麼辦?

請按照下列步驟來移除安裝到瀏覽器的附加元件或外掛程式:

Chrome使用者:
按一下瀏覽器工具列上的 Chrome 選單
按一下 [工具]。
選取 [擴充功能]。
在[Chrome Service Pac]能旁,按一下垃圾桶圖示
在隨即顯示的確認對話方塊中,按一下 [移除]。
*請參考此網頁的說明

Firefox使用者:
點按[工具] 選單,然後點按 [附加元件]。
在[附加元件]管理員分頁中, 選擇[擴充套件]。
選取[Mozilla Service Pack 5.0 ]附加元件。
點選 停用 鈕
*參考此網頁的說明

原文出處:Malware Hijacks Social Media Accounts Via Browser Add-ons
作者:Don Ladores(威脅反應工程師)

相關議題閱讀:
惡意偽造的瀏覽器擴充功能(extensions & Add-ons)

轉載自《雲端運算與網路安全趨勢部落格》