Ein neues „lustiges“ Video, das auf Facebook geteilt wird, infiziert nach Angaben des Virenschutzherstellers Bitdefender die Computer betroffener Nutzer mit einem nicht ganz so lustigen Trojaner. Dabei kann die Malware auf umfassende Internet-Browser-Daten zugreifen. Der Ursprung der Angriffe wird anhand des untersuchten Schadcodes in Albanien vermutet.
Zunächst geht man davon aus, ein lustiges Video eines Facebook-Freundes vor sich zu haben. Klickt man nun darauf, wird eine gefälschte YouTube-Seite aufgerufen, die den Nutzer wiederum auf eine schädliche Flash-Player.exe-Datei für ein vermeintliches Adobe-Update weiterleitet.
Betrüger haben mehr als 20.000 individuelle URLs angelegt, die ihre Opfer auf schädliche Websites umleiten. Hinzu kommt eine Reihe verlockender vermeintlicher YouTube-Videos mit einer Frau, die sich vor einer Webcam entkleidet. Das Video wird auch tatsächlich für einige Sekunden abgespielt, um männliche Nutzer zu weiteren Klicks zu verleiten. Die Malware-Schreiber haben zudem die Anzahl der Videoaufrufe manipuliert, um den Anschein von bereits über einer Millionen Klicks zu erwecken. Nach dem Diebstahl der Facebook-Daten werden die Profilnamen der Opfer darüber hinaus den gefälschten YouTube-URL-Parametern hinzugefügt. So entsteht der Eindruck, dass das Video unbedenklich ist, da man ja davon ausgeht, dass es von einem Facebook-Freund geteilt wurde.
In ihrem Versuch, Sicherheitsvorkehrungen zu überwinden, ist es den Hackern gelungen, auf über 60 bit.ly-API-Schlüssel zuzugreifen, mit deren Hilfe sie Kurz-URLs anlegen können. Diese eindeutigen Links werden dann über Facebook verbreitet. Da die API-Schlüssel zufällig ausgewählt werden, kann durch das Anlegen von Blacklists keine Abhilfe geschaffen werden. Bitdefender hat bit.ly bereits über den Missbrauch informiert.
Die Malware-Schreiber haben sich ein Add-on-Framework zu Nutze gemacht, mit dem ihr Code auf einer Reihe von Browsern funktioniert. Im Falle von Google Chrome leitet das schädliche YouTube-Video Nutzer auf eine vermeintliche Flash-Player-Installation weiter. Die Datei, die von Bitdefender in Ländern wie Deutschland als Trojan.Agent.BDYV identifiziert wurde, hinterlegt ein passwortgeschütztes Archiv und eine .bat-Datei auf dem Rechner, die darauf ausgelegt ist, die ausführbare Datei im Archiv auszuführen, nachdem das Passwort als Parameter angegeben wurde. Firefox-Nutzer werden auf der Seite zur Installation eines Add-ons aufgefordert.
In beiden Browsern werden durch das Add-on 20 Facebook-Freunde gleichzeitig markiert und Anzeigendienste auf der Seite eingeschleust. Die Erweiterung manipuliert zudem einige Funktionen des sozialen Netzwerks, um zu verhindern, dass Nutzer die schädlichen Einträge aus ihrer Chronik oder dem Aktivitätenprotokoll löschen.
Neben der Verbreitung von Malware „unterhält“ das betrügerische Add-on seine Opfer auch mit einer Reihe von URL-Umleitungen auf gefälschte Umfragen oder dem Abschluss von Abonnements für Premium-SMS-Dienste. Versucht der Nutzer, einen Blick auf die installierten Erweiterungen zu werfen (about://extensions), kann es passieren, dass der Schadcode seine Add-on-Reiter schließt.
Benutzer sollten stets äußerste Vorsicht walten lassen, bevor sie auf ein „lustiges“ Facebook-Video klicken, ihren Virenschutz und andere Software jederzeit auf dem neuesten Stand halten und ihre Freunde warnen, wenn sie Opfer eines Malware-Angriffes geworden sind.
Bitdefender blockiert derartige schädliche Websites mit einer Malware-Warnung.
