Специалисты Avira, CSIS Security Group и «Лаборатории Касперского» сообщили о вредоносной кампании, операторы которой используют Facebook Messenger для распространения вредоносной программы.
Такие сообщения, как правило, приходят от одного из друзей потенциальной жертвы, чей аккаунт уже был скомпрометирован. Послание обязательно содержит имя друга и слово «видео», после чего следует короткая ссылка на bit.ly или t.cn. Однако механизм компрометации пользователей пока неясен. Возможно, злоумышленники используют для этого похищенные учетные данные или кликджекинг.
Перейдя по ссылке, имитирующей видео, пользователь попадает на страницу Google Docs. Документ, который он открывает, подготавливается заранее. Он содержит изображения, собранные со страницы жертвы в Facebook, отображаемые в виде превью видеороликов. Клик по такому «ролику» перенаправляет пользователя на другой сайт, где собирается информация о его браузере, операционной системе и др. Дальнейший сценарий зависит от того, какой браузер использует жертва.
Исследователи сообщают, что злоумышленники используют множество разных доменов, как для предотвращения отслеживания, так и для привлечения большего количества кликов. Специалисты считают, что пока операторы этой кампании не заражают своих жертв банковскими троянами, скорее они зарабатывают на рекламе.
Источник: xakep.ru