最新 facebook 病毒利用瀏覽器附加功能來劫持社群媒體帳號
近日Facebook 流傳「15 歲少女露胸後自殺」影片截圖,中毒者會被冒名發文然後標籤 20 個以上的朋友,雖然是老梗還是很多人因為聳動的標題,而中了社交工程陷阱( Social Engineering) 。它的目標是Google Chrome和Mozilla Firefox的使用者。這個威脅利用這兩種瀏覽器的擴充功能來滲透進使用者電腦,並劫持Facebook、Google+和Twitter等社群媒體帳號。
為了讓受駭者安裝這些假擴充功能,駭客在社群網站上看到各式各樣的誘餌,比如「15 歲少女露胸後自殺」影片截圖,當被害人忍不住誘惑,點了連結會被導引安裝一個假影片播放軟體更新程式,這時如果你還沒感覺異狀,很”勇敢”的安裝該播放軟體更新程式,就會中了木馬TROJ_FEBUSER.AA,該病毒會根據目前所使用的瀏覽器來安裝瀏覽器附加程式。
趨勢科技在Google Chrome上所看到的一個早期版本被偵測為JS_FEBUSER.AA,自稱是Chrome Service Pack 5.0.0。如果是Mozilla Firefox的話,假附加程式是Mozilla Service Pack 5.0。
圖一、惡意附加程式所使用的名稱
Google Chrome已經將這個外掛程式標記為惡意。它的新版本被偵測為JS_FEBUSER.AB,自稱是F-Secure Security 6.1.0(Google Chrome)和F-Secure Security Pack 6.1(Mozilla Firefox)。
圖二、用於新版惡意檔案的名稱
一旦安裝成功,它會連到一個惡意網址下載一個設定檔。它使用該設定檔的的詳細資訊來劫持使用者的社群網站帳號,並且在未經授權下進行下列動作:
●在網頁上按讚
●分享文章
●加入社團
●邀請朋友到社團
●與朋友聊天
●發表留言
●更新近況
這個威脅試圖在三個不同的社群網站上進行上述行為:Facebook、Google+和Twitter。也因為如此,攻擊者可以有效地劫持使用者帳號,例如,用它們來散播連到其他惡意網站的連結。
還有一點要注意的是:假的影片播放軟體更新程式有經過數位簽章過。數位簽章是開發者和發行者用來證明該檔案沒有被篡改過的方法。潛在受害者可能會因為如此而去相信這檔案是正常而無害的。
圖三、惡意影片播放軟體更新程式的有效數位簽章
再次提醒使用者小心注意這類詐騙活動。網路犯罪份子總是會做出更好、更容易說服人的誘餌,甚至會利用正常服務或使用者來讓自己顯得沒有問題。
已經中毒者怎麼辦?
請按照下列步驟來移除安裝到瀏覽器的附加元件或外掛程式:
Chrome使用者:
按一下瀏覽器工具列上的 Chrome 選單
按一下 [工具]。
選取 [擴充功能]。
在[Chrome Service Pac]能旁,按一下垃圾桶圖示
在隨即顯示的確認對話方塊中,按一下 [移除]。
*請參考此網頁的說明
Firefox使用者:
點按[工具] 選單,然後點按 [附加元件]。
在[附加元件]管理員分頁中, 選擇[擴充套件]。
選取[Mozilla Service Pack 5.0 ]附加元件。
點選 停用 鈕
*參考此網頁的說明
原文出處:Malware Hijacks Social Media Accounts Via Browser Add-ons
作者:Don Ladores(威脅反應工程師)
相關議題閱讀:
◎惡意偽造的瀏覽器擴充功能(extensions & Add-ons)
轉載自《雲端運算與網路安全趨勢部落格》
沒有留言:
張貼留言