Pornografický malware ovlivňuje facebook, amazonské služby a box

Nový typ malwaru, který se šíří přes Facebook, je také schopen infikovat další služby, jako je Amazon, Box a zkrácená adresa URL Ow.ly. Červ byl detekován bezpečnostními laboratořemi Malwarebytes a šíří se prostřednictvím podezřelých odkazů na pornografických stránkách.

Malware je součástí rodiny Kilim, která je schopna infikovat Google Chrome pomocí nežádoucích modulů plug-in, schopných používat uživatelské profily na sociálních médiích k prohlížení a sdílení stránek bez souhlasu uživatele. Tento typ červa se šíří v prohlížeči s falešnými instalačními programy nebo Adobe Flash Player a Google Update .

Tato varianta využívá příslib pornografického materiálu, který lze stáhnout z webových stránek. Stažený název souboru je videos_New.mp4_2942281629029.exe, který se snaží procházet videem, ale ve skutečnosti je to nebezpečný spustitelný soubor. Nakažené oběti se snaží šířit červa do svých kontaktů nebo skupin vysíláním pornografických zpráv s odkazy na Ow.ly.

V zákulisí mají zločinci architekturu vrstvy přesměrování, která používá přesměrovač, Amazon a cloudové úložiště. Konečný výsledek závisí na týmu, který klikne na odkaz. Mobilní zařízení jsou přesměrována na přidružené weby, které slouží k zobrazení náhodných nabídek.

V případě stolních počítačů bude rozšíření kromě přesměrování nainstalováno v prohlížeči Chrome a bude vytvořeno zástupce prohlížeče, který se používá ke spuštění škodlivé aplikace, když je otevřena. Tato taktika umožňuje zločincům obejít ochranu prohlížeče pomocí kompromitované verze.

Úplná cesta odkazu prochází řadou přesměrování. První z nich, Ow.ly, přesměruje na druhý odkaz zkrácení adresy URL. To zase vede uživatele k přesměrovači Amazonu, který nakonec vede k škodlivému webu. Tento web kontroluje počítače a přesměruje je na základě zařízení uživatele. Například stolní počítače jsou přeneseny na server Box.com, kde je stažen škodlivý soubor.

Podle odpovědných společností již byly o problému informovány malwarebity a několik adres URL je blokováno a ohroženo. Společnost žádá uživatele, aby byli opatrní a vyhnuli se kliknutí na odkazy, které slibují ceny nebo bezplatné předměty.