Έλληνες hackers πίσω από τον ιο του Facebook! Στόχος το οικονομικό όφελος μέσω διαφημίσεων σε ανυποψίαστους χρήστες!!

Πριν μερικές ημέρες  και πρώτοι από όλους, οι φίλοι μας στην γνωστή ιστοσελίδα www.safer-internet.gr μας απέστειλαν το δείγμα από έναν νέο ιό που κυκλοφορούσε στο Facebook και είχε περιέλθει σε γνώση τους. Συγκεκριμένα όπως ανέφερε η σχετική ενημέρωση, ο εν λόγω ιός διαδιδόταν μέσω χρηστών του Facebook, με επισυναπτόμενα αρχεία  Ελληνικής ονοματοθεσίας, κάτι που μας κίνησε εξαρχής ιδιαιτέρως την περιέργεια! Σύμφωνα με αναφορές των συνεργατών μας στο www.safer-internet.gr δεκάδες χρήστες έχουν πέσει θύματα της επίθεσης και κάνεις δεν έχει προβεί σε ενημέρωση για τον τρόπο αποπομπής του κακόβουλου λογισμικού, μη μπορώντας να γνωρίζουν τι ακριβώς κάνει! Ο ρυθμός διάδοσης του ιού, σύμφωνα με ασφαλέστατες πληροφορίες είναι 12 χρήστες εντός 5 λεπτών!!!

To SecNews, με αυξημένο αίσθημα κοινωνικής ευθύνης αναφορικά με την προστασία του συνόλου των ανυποψίαστων χρηστών,πραγματοποίησε πλήρη ανάλυση του ιού, προσδιορίζοντας την ακριβή του λειτουργικότητα και τρόπους προστασίας!

Πως ξεκινά η επίθεση

Το θύμα λάμβανε ένα ή περισσότερα μηνύματα φαινομενικά προερχόμενα από φίλους του με επισυναπτόμενα αρχεία ή/και συνδέσμους link με υποτιθέμενο ενδιαφέρον περιεχόμενο. Σε διαρκή επικοινωνία που είχαμε με τους διαχειριστές της ιστοσελίδας www.safer-internet.gr έφτασε στα χέρια μας ο σχετικός σύνδεσμος της επίθεσης, Screenshots του οποίου μπορείτε να δείτε παρακάτω.fb.rar2  [ΑΠΟΚΛΕΙΣΤΙΚΟ] Έλληνες hackers πίσω από τον ιο του Facebook! Στόχος το οικονομικό όφελος μέσω διαφημίσεων σε ανυποψίαστους χρήστες!!fb.rar

Η τεχνική ομάδα του SecNews αλλά και εξωτερικοί υποστηρικτές-ερευνητές ασφάλειας (ευχαριστούμε θερμά των ερευνητή ασφάλειας MCMC), πραγματοποιήσαν μια πολύωρη ανάλυση του κακόβουλου λογισμικού, την οποία και παραθέτουμε μαζί με τα συμπεράσματα που προέκυψαν. Σημείωση: Τα ονόματα που αναφέρουμε μπορεί να διαφέρουν μιας και παρατηρήθηκαν διαφορετικές versions του κακόβουλου λογισμικού με την ίδια όμως λειτουργικότητα!

Πρώτο επίπεδο επίθεσης (1st stage)

Μόλις ο ανυποψίαστος χρήστης πραγματοποιήσει λήψη του συμπιεσμένου αρχείου (.rar) με το “ενδιαφέρον” υποτιθέμενο περιεχόμενο, δεν παρατηρεί τίποτα το παράδοξο. Εντός αυτό βρίσκεται το αρχείο “Δες Το!!!.vbs” (visual basic script). Το αρχείο έχει τις παρακάτω εντολές:

όλη η συνέχεια και ο τρόπος αντιμετώπισης εδώ