威胁
不久前,来自我们全球研究与分析团队的反病毒专家大卫·雅各比(David Jacoby)发现了通过”脸书即时通”(Facebook Messenger)传播的多平台恶意软件。几年前类似的病毒爆发也经常发生,不过最近没有出现;脸书为防止同类袭击做出了许多努力。
首先发布了一份初步报告。在那个时候,雅各比还没有足够的时间去调查该种恶意软件的各种操作细节,不过目前他有时间了, 而且我们也乐意把这些信息分享出去。在此从用户的视角出发,介绍一下病毒的传播过程。
- 用户在脸书即时通上收到了来自好友的信息。信息中含有”Video(视频)”一词、发送者的姓名、随机的微笑符以及一个短链接。如下图所示:
- 链接会将用户导向谷歌云端硬盘(Google Drive),在云端硬盘用户会看到类似视频播放器的东西,背景是信息发送者的照片,还有类似播放按钮的东西。
- 如果受害人尝试在谷歌浏览器重新播放”视频”,就会被重新导向一个非常像YouTube的页面,然后提议安装一个谷歌浏览器扩展插件。
- 如果用户同意安装,扩展插件就开始向其好友发送恶意链接,接下来同样的戏码在好友的浏览器再次上演。
- 针对其他浏览器的用户则是用持续提醒更新Adobe Flash Player来代替扩展插件下载。他们下载文件后会发现原来是广告软件——本质上来说,罪犯是用广告来获利。
雅各比与法兰斯·罗斯(Frans Rosen),一名研究者,一直与雅各比共同合作项目”为人类寻找漏洞(Hunting bugs for humanity)”)一起对这起恶意软件活动进行了分析,找出其运行原理。
用户打开’脸书即时通’链接后被重新导向的页面实际上是发布在谷歌云端硬盘的PDF文件。以预览格式打开。PDF文件中含有来自用户脸书页面的照片(该用户的身份被用于传播恶意软件)、出现在图片上方诱导重新播放视频的图标以及受害人尝试点击回放按钮而打开的链接。
点击链接后受害人的好友会被导向该页面。
该链接会产生多次重新导向,最后会停留在其中一个网站。使用非谷歌浏览器的受害人会停留在伪装成Adobe Flash Player更新页面的广告软件下载页面。
非谷歌浏览器用户会被导向伪装成Adobe Flash Player页面的广告软件下载页面。
如果是使用谷歌浏览器,这还仅仅是开始:如果受害人同意安装登陆页面提议的扩展插件,该插件就会开始监测用户打开了哪些网站。一旦受害人导航到脸书页面,扩展插件就会盗取其登陆证书以及访问令牌,并将其发送到罪犯的服务器。
提议安装谷歌浏览器扩展插件的假YouTube页面
这些恶棍已经在脸书上发现了一个感兴趣的漏洞。其真相就是不安全的脸书查询语言(FQL, 早在一年前已经废弃)没有完全清除;虽然阻止应用程序使用但是也有一些例外。比如有一款iOS应用程序脸书页面管理(Facebook Pages Manager)依然使用FQL。因此恶意软件只需代表该应用程序就可获取被”封锁在外”的功能。
利用盗取的登陆证书,获取废弃的脸书功能,这些恶棍就可以要求该社交网络发给他们受害人的通讯录,剔除当前不在线的用户,从剩余者中随机选择50位新的受害人。接着向这些用户批量发送含有新链接的信息,链接导向含有PDF文件预览的谷歌云端硬盘,预览文件用受害人的照片生成,该受害人代表着新一波恶意信息的开始源头。总而言之就是一个恶性循环圈。
其中最值得注意的是,恶意脚本”喜欢”一个特定的脸书页面,显然是在为病毒传播搜集统计数据。雅各比和罗斯发现,在攻击过程中罪犯更改了几个特定页面,可能是由于脸书关闭了先前的一些网页。通过”点赞”的数量来判断,应该有成千上万的受害人。
被感染用户”喜欢”的页面之一
通过编码分析,他们发现罪犯最初是计划使用定位信息,不过后来改变了主意,转向简短的”视频”。定位功能编码显示这些恶棍主要对几个欧洲国家的脸书用户感兴趣,比如土耳其、意大利、德国、葡萄牙、法国(以及加拿大讲法语地区)、波兰、希腊、瑞典以及所有讲英语的用户国家。
通过几家公司的共同努力,目前已经制止了该种病毒的传播。尽管如此,但这个事件具有警醒作用,提醒用户浏览器扩展插件并不像看上去的那么无害。因此只有在绝对信任其安全性,确保不会盗取你的数据,也不会追踪你的网上活动的情况下,才可以安装浏览器扩展插件,这样才能保证安全,避免受害人落入类似的恶意软件传播,
另外,不要随意点击任意链接,即使那些链接看起来似乎是来自你认识的人。确定网络那头确实是你的好友,而不是控制你好友帐号的罪犯。
提示