Kaspersky Lab drošības eksperts ir atklājis ļaunprogrammatūras uzbrukumu, kas ievilināja aptuveni 10 tūkstošus Facebook lietotāju visā pasaulē inficēt savas ierīces pēc ziņas saņemšanas no drauga, kas apgalvo, ka ir viņus pieminējis Facebook. Inficētās ierīces tika izmantotas Facebook kontu uzlaušanai, lai izplatītu infekciju upura draugu vidū Facebook un veiktu citas ļaunprātīgas darbības. Vissmagāk ir cietušas valstis Dienvidamerikā un Eiropā, kā arī Tunisija un Izraēla.

No 24. līdz 27. jūnijam tūkstošiem patērētāju bez jebkādām aizdomām saņēma ziņu no Facebook drauga, kurā teikts, ka viņš tos ir pieminējis komentārā. Patiesībā šī ziņa bija pienākusi no uzbrucējiem un aizsāka divpakāpju uzbrukumu. Pirmajā posmā lietotāja datorā tika lejupielādēts Trojas zirgs, kas cita starpā instalēja ļaundabīgu pārlūka Chrome paplašinājumu. Tas ļāva uzsākt otro posmu — upura Facebook konta pārņemšanu, kad viņš atkal pieteicās Facebook, izmantojot inficēto pārlūku. Sekmīgs uzbrukums deva iespēju draudu izpildītājam mainīt konfidencialitātes iestatījumus, iegūt datus un daudz ko citu, tādējādi ļaujot izplatīt infekciju upura Facebook draugu vidū vai veikt citas ļauprātīgas darbības, piemēram, izplatīt surogātpastu, zagt personas datus un ģenerēt viltus «Patīk» un «Dalīties». Turklāt ļaunprogrammatūra centās aizsargāt sevi, iekļaujot melnajā sarakstā piekļuvi noteiktām tīmekļa vietnēm, piemēram, tām, kas pieder drošības programmatūras piegādātājiem.
Screen Shot 2016-07-04 at 15.50.45

Kaspersky Security Network reģistrēja nedaudz mazāk par 10 tūkstošiem inficēšanas mēģinājumu visā pasaulē. Visvairāk skartās valstis ir Brazīlija, Polija, Peru, Kolumbija, Meksika, Ekvadora, Grieķija, Portugāle, Tunisija, Venecuēla, Vācija un Izraēla.

Vislielākajam riskam bija pakļautas personas, kas piekļuvei Facebook izmanto Windows pārvaldītus datorus, savukārt operētājsistēmas Windows tālruņu lietotāji, iespējams, bija pakļauti nelielam riskam. Android un iOS mobilo ierīču lietotāji palika neskarti, jo ļaunprogrammatūra izmantoja bibliotēkas, kas nav saderīgas ar šīm operētājsistēmām.

Uzbrucēju izmantotais Trojas zirga lejupielādētājs nav jauns. Tas tika konstatēts aptuveni pirms gada, kad veica līdzīgu inficēšanas procesu. Abos gadījumos valodas zīmes ļaunprogrammatūrā, šķiet, norāda uz turku valodā runājošiem draudu izpildītājiem.

Tagad Facebook ir mazinājis šos draudus un bloķē paņēmienus, kas tiek izmantoti ļaunprogrammatūras izplatīšanai no inficētajiem datoriem, kā arī informē, ka nav novēroti turpmāki inficēšanas mēģinājumi. Turklāt Google ir izņēmis no Chrome Web Store vismaz vienu vainīgo paplašinājumu.

«Šis uzbrukums ir zīmīgs no diviem aspektiem. Pirmkārt, ļaunprogrammatūras piegāde bija ārkārtīgi efektīva, sasniedzot tūkstošiem lietotāju tikai 48 stundu laikā. Otrkārt, patērētāju un mediju atbilde bija gandrīz tikpat strauja. Šī reakcija veicināja informētību par kampaņu un rosināja attiecīgo pakalpojumu sniedzēju tūlītēju rīcību un izmeklēšanu,» sacīja Kaspersky Lab Starptautiskās pētniecības un analīzes grupas vecākais drošības pētnieks Ido Naors.

Patērētājiem, kuri domā, ka varētu būt inficēti, savā datorā ir jāpalaiž ļaunprogrammatūras pārbaudes rīks vai jāatver pārlūks Chrome un jāmeklē neparedzēti paplašinājumi. Ja tādi ir, izejiet no Facebook konta, aizveriet pārlūku un atvienojiet tīkla kabeli no datora. Sazinieties ar speciālistu, kas atradīs un izdzēsīs ļaunprogrammatūru.

Turklāt Kaspersky Lab iesaka visiem patērētājiem ievērot dažus kiberdrošības pamatnoteikumus.

• Visās ierīcēs instalējiet aizsardzības risinājumu un pastāvīgi atjauniniet operētājsistēmas programmatūru.

• Neklikšķiniet uz saitēm ziņās no nepazīstamām personām vai negaidītos draugu paziņojumos.

• Vienmēr esiet piesardzīgi tiešsaistē un sociālo mediju tīklos — ja kaut kas šķiet kaut nedaudz aizdomīgs, visticamāk, tas tāds arī ir.

• Izmantojiet atbilstošus konfidencialitātes iestatījumus sociālo mediju tīklos, piemēram, Facebook.

Kaspersky Lab izstrādājumi atklāj un bloķē šo apdraudējumu.

Par uzbrukuma procesu un to, kā uzzināt, vai esat inficēts, un ko darīt, ja esat, vairāk lasiet rakstā «Facebook ļaunprogrammatūra: atzīmē mani, ja vari» tīmekļa vietnē Securelist.com.