Zeer geraffineerde aanval op Facebookers
Met slimme variant van Koobface-worm
03 maart 2009 | Janneke Scheepers
Facebook-gebruikers worden de laatste dagen aan alle kanten belaagd door phishers en malware. Trendmicro waarschuwt voor een aanval die bijzonder sluw in elkaar zit.
Rik Ferguson van Trendmicro legt uit hoe de aanval in zijn werk gaat. Het slachtoffer ontvangt een Facebook-boodschap met een link naar een video. Dit berichtje lijkt afkomstig te zijn van een vriend en ziet er normaal uit. De link leidt naar een zeer goed vervalste Youtube-pagina, compleet met commentaren van mensen die het filmpje zogenaamd gezien hebben.
Profielfoto
Het filmpje lijkt ook echt gepost te zijn door de vriend die schijnbaar de Facebook-boodschap heeft gestuurd. De valse pagina toont namelijk de naam en Facebook-profielfoto van die vriend. "Een heel mooi staaltje social engineering", aldus Ferguson.
Wanneer het slachtoffer het filmpje wil bekijken, krijgt hij het verzoek om Adobe Flash Player te installeren. Natuurlijk levert uitvoering alleen maar ellende op. Via een downloadsite wordt het bestand setup.exe gedownload, wat een nieuwe variant is van de Koobface-worm - door Trendmicro gedefinieerd als WORM_KOOBFACE.AZ.
Complexer
Een eerdere versie van Koobface trof Facebook in december. Volgens Trendmicro is de vorige week ontdekte variant van deze malware veel complexer dan oudere versies. "Deze nieuwe variant heeft een back end die alle aanpassingen verzorgt". Het bedrijf constateert dat de worm ook andere sociale netwerksites gebruikt om zich te verspreiden, zoals Friendster, Myspace, Bebo en Netlog.
Accountafsluiting
Vorige week heeft Trendmicro twee andere aanvallen op Facebook opgemerkt. Hierbij krijgen gebruikers valse Facebook-applicaties aangeboden, onder voorwendselen zoals dreigende accountafsluiting wegens schending van de gebruikersvoorwaarden. "Het ziet ernaar uit dat Facebook volwassen wordt als platform om aan te vallen", constateert Ferguson in een e-mail aan onze collega's van CNet.
Trendmicro adviseert om altijd erg achterdochtig te zijn bij rare boodschappen van vrienden. En wanneer u het verzoek krijgt om software zoals Adobe Flash Player te downloaden of te updaten voor het draaien van applicaties, doe dit dan altijd via de officiële website van de sofwareleverancier zelf.
bron: ZDNet
Bookmark dit:
gerelateerde artikels op ZDNet »
- Valse .be-sites vissen naar Facebook-gegevens
- Nieuwe phishinggolf op Facebook
- Nieuwe malware gijzelt je pc
- Franse Facebook-fans furieus over facelift
- Facebook-tool herkent je smoel
- Beruchte hacker van Facebook gegooid
- Facebookers krijgen inspraak
- Zuckerberg nuanceert Facebook-voorwaarden
- Facebook bezit al uw informatie, voor altijd
- Verbazingwekkende groei Facebook
- Mr. Facebook betaalt studiematen 65 miljoen
- Lierenaars ondervraagd na beledigingen op Facebook
- Daar gaat uw privacy op Facebook
- Spammer moet Facebook 873 miljoen dollar betalen
- Facebook telt meer dan miljoen Belgen
- Facebook-programma's veranderen pc's in zombies
- Erg verraderlijke spam op Facebook
externe links »
Reacties
Reageer op dit artikel
2 reacties op dit artikel:
Origineel bericht van Lode 04/03/2009
@ada: Dat is vrij simpel uit te leggen. Als gebruiker raakt je computer initieel geïnfecteerd door het installeren van die valse flash update, wat echt gebeurd is dat het virus zich op dat op de computer nestelt. De browser v/d gebruiker wordt gekaapt en men kan de cookies v/d gebruiker uitlezen. Eenmaal in het bezit van de cookie van een sociale netwerksite wordt hierop aangemeld (nabootsen van http request of kapen v/d browser) en worden berichten verstuurd in naam v/d gebruiker. De enige oplossing is op dat moment om dmv een virusscanner of removal tool het virus te verwijderen. Het virus bevindt zich dus allerminst 'in' de code v/d website, maar opereert vanop de computer van een (meestal onwetende) gebruiker.
Origineel bericht van ada 04/03/2009
wat ik mij altijd afvraag is hoe ze een worm maken dat zich via de site zelf verspreid, dat profielen infecteerd. hoe ze echt vanuit de site opereren en niet vanuit een client(client/server-side) ik weet dat met een sql aanval code kan geinjecteerd worden in de databank zodat een profiel besmet word. maar hoe kan het zich van profiel naar profiel verplaatsen? en nog beter, hoe kunnen ze zich voordoen als het slachtoffer en berichten sturen. ik zou graag eens de technische kant van het verhaal zien:)
