Социальную сеть Facebook атакуют новые вредоносные программы

Социальную сеть Facebook атакуют новые вредоносные программы

В последние дни G Data Software обнаружила новую атаку вредоносных программ в социальной сети Facebook. Многие пользователи получили сообщение через функцию Facebook чат следующего содержания: “Это твой бывший молодой человек/девушка?”, “Боже мой, посмотри какой милый”. 



Сокращенный линк мог быть разным, но результат остается прежним: после перехода по ссылке на компьютере начинается загрузка файла, который маскируется под .jpg формат. В случае за-грузки у пользователя не отображается расширение, а появляется иконка обычной картинки в формате jpg.

Такой файл с несоответствием иконки и расширения заставляется задуматься о его происхождении, но, к сожалению, далеко не все пользователи замечают это несовпадение. Что сделает среднестати-стический пользователь в такой ситуации?

Очевидно, что после загрузки “картинки” пользователь хочет увидеть забавный или шокирующий сни-мок, обещанный в чате. И тут наступает момент заражения: при нажатии на картинку начинается
загрузка вредоносных программ на компьютер пользователя, который, поплатившись за свое любо-пытство, становится жертвой. Самое опасное, что файл начинает распространяться по всем друзьям пользователя в Facebook. Так стартует полный цикл заражения.

Загруженный файл уже с зловредами сохраняется и исполняется в папке TEMP ОС Windows%%. Но пользователь пока не замечает вредоносной деятельности. С целью обмануть второй раз, вирус даже отображает поддельное уведомление, объясняющее почему юзер не может открыть картинку.

“Пока жертва думает, что файл поврежден и, скорей всего, отправляет его прямиком в корзину, на ее компьютер в фоновом режиме устанавливается вредоносная программа, - рассказывает Ральф Бенц-мюллер, руководитель лаборатории безопасности G Data Labs. - К сожалению, мы не смогли опреде-лить ее происхождение, так как область хостинга была уже подчищена хакерами. Также для своих уловок они использовали абсолютно легальный хостинг для временного размещения файлов. Но мы смогли определить файл-загрузчик: троянская программа Trojan.Generic.KD.315917”.

Загружаемые зловреды могут быть любого вида и происхождения: от банковский торянов до клавиа-турных шпионов, бэкдоров и прочее. Даже не смотря на то, что в способе заражения компьютера через троян-загрузчик нет ничего нового, из-за широкого охвата социальной сети такая атака может быть вполне существенной.

Чтобы защитить себя нужно:

  • Не переходить по ссылкам от неизвестных пользователей. Даже если вы получаете сообщение от друга, содержащее подозрительный контент, лучше лишний раз удостоверьтесь, отправлял ли он это сообщение.
  • Проверять сокращенные ссылки, чтобы узнать исходный ресурс. Если это ссылка, укороченная с помощью сервера bit.ly, то вам необходимо добавить + в конце ссылки, скопировать в строку браузера (например bit.ly/shortcode можно заранее расшифровать как bit.ly/shortcode+). Также вы можете использовать LongURL, который автоматически восстанавливает ссылки из любых сервисов. 
  • Подключить функцию отображения расширения файлов на вашей операционной системе.
  • Своевременно устанавливаете все обновления на компьютере.

Фейковый Google Play маскирует онлайн-казино под приложения Tesco, Amazon

Мошенники нашли красивую упаковку для старой схемы: берут известный бренд, рисуют фейковую страницу Google Play, запускают рекламу в соцсетях и под видом официального приложения ведут пользователя в онлайн-казино. В объявлениях злоумышленники используют названия и визуальный стиль известных компаний, включая Tesco, Amazon, Monzo, Revolut и стриминговые сервисы.

По данным Netcraft, кампания продвигается через платную рекламу в Facebook, Instagram, Threads (все три принадлежат корпорации Meta, признанной экстремистской и запрещённой в России) и TikTok.

Где-то всё выглядит примитивно — просто «Brand Slots». А где-то уже почти спектакль: поддельные интерфейсы, фальшивые отзывы, липовые данные из магазинов приложений и даже ИИ-видео с якобы сотрудниками бренда.

 

Главная легенда — официальный запуск слотов или казино-приложения от известной компании. Пользователь кликает по рекламе и попадает на страницу, похожую на Google Play, App Store или сайт бренда. Но кнопка «Install» не ведёт в настоящий магазин приложений. Вместо этого браузер предлагает добавить на главный экран PWA — прогрессивное веб-приложение.

После установки такая штука выглядит как обычное приложение: с иконкой, названием и оформлением под бренд. На деле это тонкая обёртка, которая открывает сторонний сайт онлайн-казино. То есть пользователь думал, что ставит «Amazon Slots» или «Monzo Slots», а получил ярлык на азартную площадку.

Netcraft считает, что схему подпитывает партнёрская экономика. В PWA и ссылках есть параметры, которые позволяют отслеживать регистрации и депозиты. По открытым данным, выплаты за игрока, внесшего депозит, могут составлять от $50 до $350. С такими ставками мошенникам есть смысл вкладываться в правдоподобные объявления и массовый запуск рекламы.

В некоторых кампаниях использовались фейковые страницы с вымышленными разработчиками, скачиваниями и отзывами. Были и интерактивные приманки вроде колеса удачи с гарантированным выигрышем, после которого пользователя просили установить PWA, чтобы забрать приз.

Опасность здесь не только в потерянных деньгах. Такие PWA размывают границу между настоящим приложением и подделкой: браузерная оболочка минимальна, и всё выглядит почти как фирменный сервис. Только фирменного там — разве что украденный логотип.

RSS: Новости на портале Anti-Malware.ru