Nicht einmal eine Woche ist vergangen, seitdem ESET vor der weltweiten Ray-Ban Scam Kampagne auf Facebook warnte, in der Nutzer um ihre Kreditkartendaten gebracht wurden. Heute berichten wir über eine andere Bedrohung, die momentan das größte soziale Netzwerk überfällt.

Diesmal sind bösartige Links als Beiträge in der Chronik versteckt, in denen Nutzer markiert werden bzw. erreicht sie eine Nachricht über den Messenger von einem Facebook-Freund. Mit Titeln wie "Mein erstes Video", "My Video", "Private Video" oder einer Reihenfolge von zufällig generierten Zeichen wird versucht, verschiedene Leute aus der Freundesliste eines Opfers dazu zu bringen, auf einen Link zu klicken

1final

Figure 1 Bösartige Video-Links mit markierten Freunden

Wenn ein ahnungsloser Nutzer auf den Betrug hereinfällt, leitet der Beitrag ihn zu einer gefälschten YouTube-Webseite weiter. Getarnt als erfolgloser Versuch, den Inhalt der Seite zu laden, soll der User zunächst ein Plug-In installieren:

Sorry, wenn Sie nicht das Video-Wiedergabe-Plug-In installieren, werden Sie nicht in der Lage sein, das Video zu sehen! 

Klicken Sie auf  'Add Extension' um das Video ansehen zu können!

Wenn ein Opfer das bösartige Plug-In installiert, wird der Browser infiziert und die Kompromittierung kann beginnen. Wie oben beschrieben, wird die Facebook Chronik des Opfers mit gefälschten Video-Beiträgen übersäht. Hin und wieder erhalten auch mehrere Freunde aus der Freundesliste eine identische Nachricht mit den gleichen schädlichen Spam-Inhalten.

ESET hat die Bedrohung als JS/Kilim.SO und JS/Kilim.RG erkannt. Zum jetzigen Zeitpunkt betrifft die Infektion lediglich Nutzer des Chrome-Browsers. Allerdings gibt es keine Garantie dafür, dass andere Browser in Zukunft verschont bleiben.

sent3fnal

Figure 2 Infizierte Video-Links an Freunde versandt

Funktionsweise?

Nach einem Klick auf "Add Extension" auf der gefälschten YouTube-Seite, wird ein bösartiges Trojaner-Plug-In (Java Script-Code) in den Chrome-Browser eingeschleust. Dieses wird als offizielles "Make a GIF" Plug-In getarnt, stammt aber von einem ganz anderen Entwickler, nämlich "freechatfor.org".

Figure 3 Video-Link Weiterleitung

Figure 3 Video-Link Weiterleitung

Die infizierte Version der Erweiterung besitzt eine extra böswillige Funktionalität, die es ermöglicht, Facebook-Konten zu infizieren und sich selbst nach der Installation sofort zu verbreiten. Das Spektrum der Fähigkeiten des Plug-Ins ist jedoch wesentlich breiter.

Figure 4 Anweisung die Chrome-Erweiterung zu installieren

Figure 4 Anweisung die Chrome-Erweiterung zu installieren

Der Trojaner ist darüber hinaus in der Lage Facebook-Freunde hinzuzufügen, Facebook-Seiten zu erstellen, zu teilen, zu bearbeiten oder Beiträge zu verstecken und jemanden zu entfolgen. Zum jetzigen Zeitpunkt sind diese Funktionen noch nicht aktiv, aber wir können auch nicht ausschließen, dass dies in der Zukunft nicht geschehen wird.

Fallen Leute darauf rein?

Kurz und knapp: Ja. Bereits in der letzten Woche entdeckte ESET diese Bedrohung mehr als 10.000-mal. Dieser Scam verbreitet bösartigen Code und infiziert Facebook-Nutzer in den Vereinigten Staaten, Kanada, Australien, Großbritannien, Neuseeland, Russland, der Slowakei, der Tschechischen Republik, Deutschland, der Schweiz, Polen, Indien, Dubai, Singapur, Norwegen, Griechenland, Ungarn, der Republik der Philippinen, der Türkei, Israel, Peru, Thailand, Argentinien und in vielen anderen Regionen der Welt.

Figure 5 Einige Reaktionen der Opfer

Figure 5 Einige Reaktionen der Opfer

Wie werde ich die Bedrohung wieder los?

  1. Sofortiges Entfernen der “Make a GIF” Erweiterung für den Chrome-Browser:

Entweder man gibt “chrome://extensions/” in die Adresszeile ein oder navigiert zu  Google Chrome anpassen und einstellen -> Weitere Tools -> Erweiterungen -> „Make a GIF“ -> Aus Chrome entfernen (Mülltonne)

Wer die offizielle “Make a GIF” Erweiterung benutzt, sollte sich das untere Bild ansehen, anhand dessen das echte Plug-In vom gefälschten unterschieden werden kann.

Figure 6 Infiziertes und sauberes Plug-In

Figure 6 Infiziertes und sauberes Plug-In

Wer auf Details -> Im Store ansehen klickt, kann mehr über die Erweiterungen erfahren.

Figure 7 Saubere Variante von „Make a GIF“

Figure 7 Saubere Variante von „Make a GIF“

Figure 8 Infizierte Variante von „Make a GIF“

Figure 8 Infizierte Variante von „Make a GIF“

  1. Den Computer mit einer zuverlässigen Antiviren-Software scannen:

Wer sicher gehen möchte, sollte den kostenlosen ESET Online Scanner ausprobieren.

Fazit

Momentan verbreitet sich der bösartige Facebook-Scam mit einer sehr hohen Erfolgsrate. Ausgehend von dieser Kampagne besteht ein hohes Potenzial, dass zukünftig noch andere, leistungsfähigere Malware mit neuen Fähigkeiten verbreitet wird.

Aus diesem Grund raten wir den Nutzern, sehr vorsichtig zu sein wenn sie auf verdächtige Links klicken wollen, die unterschiedliche oder unvollkommene Sprache verwenden oder Freunde ohne Grund markieren usw. Beim Versuch YouTube Videos anzusehen, sollten niemals zusätzliche Erweiterungen heruntergeladen werden.