Uwaga na przesyłane zdjęcia na Facebooku - mogą być niezwykle groźne!!
#1
Niezwykle poważna w ewentualnych konsekwencjach infekcja rozprzestrzeniana na Facebooku przy pomocy fałszywych zdjęć...fragment opisu za DP

Cytat:Scenariusz ataku został pomyślany dość dobrze, i z tego co wiemy niejeden nawet bardziej kompetentny technicznie internauta dał się złapać. Podczas rozmowy na Messengerze (czy to mobilnym, czy w przeglądarce) możemy otrzymać plik graficzny o nazwie photo_XXXX.svg (czyli w otwartym formacie grafiki wektorowej).

Jeśli ofiara kliknie obrazek, zapewne z ciekawości – co tu takiego znajomy nam wysyła – zamiast obrazka uruchomi złośliwy kod JavaScriptu. Jak to możliwe? Otóż faktycznie mamy do czynienia z obrazkiem, rysowana jest czerwona kropka o promieniu 50 pikseli. Później jednak, całkowicie w zgodzie ze specyfikacją tego formatu, osadzony jest skrypt z trojanem oznaczanym przez niektóre antywirusy jako Nemucod.CX.

Po uruchomieniu skryptu, ofiara zostaje przekierowana na pewien adres w domenie .pw (wyspy Palau), a następnie na różne jego subdomeny o losowych nazwach. Tam zaczyna być ciekawie – trafiamy na podszywającą się pod YouTube stronę wideo, która zaprasza do pobrania „kodeka wideo”. Kodekiem wideo jest złośliwe rozszerzenie przeglądarki, domagające się wszelkich możliwych uprawnień. To ono odpowiada za dalsze rozpowszechnianie szkodnika, ale też pozwala na wykradanie poufnych danych użytkowników.
 Jak już potwierdzono szkodliwy skrypt pobiera także na dysk niezwykle szkodliwego szyfrującego ransmoma - Locky...w jego przypadku praktycznie nie ma innego ratunku na stracone dane, jak kopie bezpieczeństwa. W całym procesie infekcji są ważne dwa punkty, które powinny być ostrzeżeniem:
- dodatek ma być kodekiem do odtwarzania video - tu mamy plik graficzny!
- dodatek nie ma widocznej ikony, co nie jest zwyczajem a takim przypadku

[Aby zobaczyć linki, zarejestruj się tutaj]


[Aby zobaczyć linki, zarejestruj się tutaj]


Źródła

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]



Nie otwieraj takich zdjęć!...poinformuj o tym znajomych i bliskich!
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#2
@tachion coś o tym wie XD
1. Zawsze mam rację.
2. Jeśli nie mam racji, patrz pkt 1.
Odpowiedz
#3
Załapał się na zdjęcie? Grin
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#4
Lepiej. Rozsyłał XD
1. Zawsze mam rację.
2. Jeśli nie mam racji, patrz pkt 1.
Odpowiedz
#5
No ja też pozdrawiam tachiona, bo też mi wysłał.. na szczęście "svg" było na tyle podejrzane, że otworzyłem to najpierw edytorem.
Odpowiedz
#6
Jak nic nie publikuje na FB tak link dałem do FB by mi później ludzie nie spamowali, ale na szczęście jeszcze nikt nie rozsyłał u mnie.

Tachion to pewnie testuje waszą czujność Wink
Windows 10/11 Home x64 + Hard_Configurator + Windows Defender + router z firewall
Odpowiedz
#7
Tia

Testowałem to akurat na wirtualu, ale zapomniałem się wylogować i zostało to wysłane do wszystkich Smile
Odpowiedz
#8
Dobra, ale kurcze... to wkurza. Ja zdecydowałem się na odcięcie tej drogi kontaktu - bo skoro od znajomych, nawet tych mniej rozgarniętych syfu nie dostaję, a dostałem od Tachiona to co... mam się obawiać każdej wiadomości od niego? Nie czarujmy się, nikt tu nie ma normalnego labu do badania malware, nikt nie jest specjalistą w tej tematyce, a jedynie entuzjastami. I w efekcie to co robimy, może mieć różne skutki. Ja tam z różnymi osobami rozmawiam na FB, nie tylko ze znajomymi, czasami i z klientami... A jak jest ok, to są i w znajomych. Pięknie by to wyglądało jakbym im rozesłał przez nieuwagę taki spam.

Ok, może ja za nerwowo, zbyt poważnie do tego podchodzę, tym bardziej, że zorientowałem się i nic złego się nie stało.
Mimo wszystko jakoś wolę chuchać na zimne, a że Tachion testuje różne szkodniki, to nie jest bezpiecznie mieć jakiś w miarę łatwy kanał wymiany plików.
Inna sprawa że i tak zachodze w głowę - na cholipcię logować się na fejsa na wirtualce gdzie się coś testuje?
Ale to już pozostawiam tak o, ja się wkurzyłem, tupnąłem nóżką i kontakt zablokowałem Smile W razie czego jest pw na forum.
Odpowiedz
#9
Dobrze że używasz Maca Smile No ale cóż Chrome jest jeden.
Odpowiedz
#10
Dobre jest, że ja tak blokowałem kiedyś ludzi. Spam, wirus = blokada, teraz mam taki spokój, że czasami nie ma tam po co zaglądać.
Windows 10/11 Home x64 + Hard_Configurator + Windows Defender + router z firewall
Odpowiedz
#11
@tachion: Mac nie mac, na niego też są przecież ransomware (a były doniesienia, że ten syf potrafi pobierać takie rzeczy). Ale najbardziej bolałoby to, gdybym sam coś takiego przesłać innym.
Kij ze mną, ja mam backup, ale są takie osoby, które dopiero będą go robić.
Odpowiedz
#12
A wystarczy zamiast chromecrapu używać czegoś innego, na ff po odpaleniu nic się nie stało na ie też bezpiecznie.
Odpowiedz
#13
Tak z tym locky lub innym ładunkiem w tym przypadku to wynika tylko z telemetrii, tu akurat nie było takich doniesień żeby ktoś się zainfekował ransomem Smile
Większość .js wykrywana jako numecod to swego typu downloader.

W przypadku rozszerzenia do do chrome, wystąpiło tylko zablokowanie możliwości usunięcia tego dodatku w przeglądarce (polityka grup).

W innym przypadku musi dojść do infekcji przez dziurawą jave lub flashplayera. Ale tu już będą widoczne operacje w systemie.
Odpowiedz
#14
Przepraszam, to ja wysłałem tachionowi ten plik Sad

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#15
@zord
Ale jeśli już mówimy o security, to właśnie crapem jest Firefox, a nie Chrome i jego forki. Sandbox, izolacja kart i dodatków, ich filtr od szkodliwych stron. No sorry, laikowi więcej się przyda Chrome(podobny) twór, aniżeli FF, który ostatnio bardziej kręci się wokół własnego ogona, aniżeli rozwija.
Odpowiedz
#16
Od siebie dodam, że dość późno zostało to wychwycone. Od jednego znajomego dostałem tego typu załącznik już 2 października. Ale jak widać dopiero teraz ten wirusik musiał niezłe spustoszenie zrobić na FB.
Ale lepiej późno niż wcale.
Odpowiedz
#17
Mi nikt takich badziewi nie wysyłą na priv nie wiem w co wy wchodzicie... ale często spotykam sie ze śmieciowymi grami i blogami zbierającymi dane Grin

A specjalnie mam sporo znajomych jako mięso armatnie które codziennie nieświadomie rozsyła sobie nie jeden syf Grin
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#18
Ale OCB, co to robi?
BTW. Dawniej @tachion raz zasiał wąglikiem na FB, ale to tylko jakiś spam. Teraz nic nie mam.
KIS/EIS/MKS, MBAM, HitmanPro, Eset Online, WF+uBlock
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości