Специалисты Cyren обнаружили новую спам-кампанию, в ходе которой хакеры распространяют PDF-файлы, якобы содержащие откровенные фотографии голливудских звезд. На самом деле ссылки в файлах отправляют пользователей на страницу, содержащую вредоносное расширение Chrome, или на сайты с агрессивной рекламой.
Такие сообщения распространяются посредством частных сообщений и сообщений в различных группах Facebook. PDF-файл содержит ссылку, переход по которой открывает интернет-страницу, фильтрующую жертв в зависимости от используемого браузера. Если на компьютере установлены интернет-обозреватели Internet Explorer, Firefox или Safari, пользователь перенаправляется на страницу с агрессивной рекламой. Владельцы мобильных телефонов перенаправляются на ту же страницу вне зависимости от используемого браузера.
Пользователи десктопной версии Google Chrome попадают на фальшивую страницу YouTube, требующую установить специальное расширение Chrome для просмотра видео. По словам экспертов, злоумышленникам удалось разместить вредоносное расширение в Chrome Web Store. На данный момент расширение уже удалено из каталога.
Основная задача расширения заключалась в том, чтобы вынудить пользователя повторно авторизоваться в Facebook. Таким образом злоумышленники собирают учетные данные жертвы и используют ее учетную запись для дальнейшего распространения вредоносного спама.
Как показал анализ исходного кода, расширение может в режиме реального времени перехватывать web-трафик для определения, к каким ресурсам может получить доступ браузер жертвы. Кроме того, расширение содержит список связанных с обеспечением безопасности доменов и предотвращает их загрузку. В число функциональных возможностей расширения также входит загрузка и запуск дополнительных вредоносных скриптов.
Такие сообщения распространяются посредством частных сообщений и сообщений в различных группах Facebook. PDF-файл содержит ссылку, переход по которой открывает интернет-страницу, фильтрующую жертв в зависимости от используемого браузера. Если на компьютере установлены интернет-обозреватели Internet Explorer, Firefox или Safari, пользователь перенаправляется на страницу с агрессивной рекламой. Владельцы мобильных телефонов перенаправляются на ту же страницу вне зависимости от используемого браузера.
Пользователи десктопной версии Google Chrome попадают на фальшивую страницу YouTube, требующую установить специальное расширение Chrome для просмотра видео. По словам экспертов, злоумышленникам удалось разместить вредоносное расширение в Chrome Web Store. На данный момент расширение уже удалено из каталога.
Основная задача расширения заключалась в том, чтобы вынудить пользователя повторно авторизоваться в Facebook. Таким образом злоумышленники собирают учетные данные жертвы и используют ее учетную запись для дальнейшего распространения вредоносного спама.
Как показал анализ исходного кода, расширение может в режиме реального времени перехватывать web-трафик для определения, к каким ресурсам может получить доступ браузер жертвы. Кроме того, расширение содержит список связанных с обеспечением безопасности доменов и предотвращает их загрузку. В число функциональных возможностей расширения также входит загрузка и запуск дополнительных вредоносных скриптов.
