Спам і викуп - найпоширеніші форми кіберзлочинності, що зустрічаються сьогодні. Записи ФБР свідчать, що лише у 2016 році було забезпечено 1 мільярд доларів грошей, забезпечених кіберзлочинцями. Настільки небезпечні та нерозбірливі, як ці злочини, натрапляння на них на відомих, надійних сайтах робить їх ще більш небезпечними. Цього разу спамери націлили на Facebook.

Фейсбук був позначений карантином після того, як став здобиччю нападу викупового програмного забезпечення, яке поширилося, як пожежа, у соціальній мережі. Сумно відома спам-кампанія передбачає поширення завантажувача шкідливих програм Nemucod серед користувачів, що в деяких випадках було помічено як завантаження програмного забезпечення Locky. Щоб зробити це ще гірше, для Локкі немає вільної програми дешифрування.

Відомо, що Locky-викупник заблокує заражений комп'ютер, зашифрує його файли, а потім затримає їх викуп за плату Bitcoin. Досі не розроблено конкретного рішення для шифрування Локкі, тому користувачі мало сподіваються відновити шкоду.

Загрозу виявили два співробітники служби безпеки, що спеціалізуються на Інтернет-злочинах та зловмисних програмах, Барт Блейз. який працює з Threat Intelligence для багатонаціональної компанії з фінансових послуг PricewaterhouseCoopers та Пітера Круза. спеціаліст з електронних злочинів для датської групи безпеки CSIS A / S. Небезпека створювалася у вигляді спам-повідомлень, що поширюються через систему IM в Facebook.

Вірус ухилявся від білого списку Facebook, роблячи вигляд, що є файлом зображення.SVG, і його надсилають із скомпрометованих облікових записів Facebook. Заражені файли, на відміну від інших поширених типів файлів, мають можливість містити вбудований вміст, як JavaScript, і його можна відкрити в сучасному браузері. Причина, що шахраї вирішили поділитися SVG-образами, полягає в тому, що він базується на XML і дозволяє динамічний вміст, тому було легше прикрити код JavaScript прямо у самій фотографії, що в даному випадку було посиланням на зовнішній файл.

Відкриття зараженого файлу перенаправляє користувачів на спам-сайт, копіювальну версію YouTube. Веб-сайт не піднімає жодних червоних прапорів, поки не спонукає користувачів встановити шкідливий кодек-розширення Chrome для перегляду відео. Після дозволу, необгрунтоване розширення надасть йому можливість змінювати дані користувачів щодо сайтів, які вони відвідують.

Як повідомляв Blaze, розширення також поширюватиме зловмисне програмне забезпечення далі у Facebook, компрометуючи акаунт жертви. Спамери можуть приймати ваш обліковий запис і надалі поширювати зловмисне програмне забезпечення серед ваших друзів у соціальних мережах, надсилаючи їм спам-повідомлення з тим самим файлом зображень SVG.

Заходи безпеки

Для початку, і це досить очевидно: не натискайте жоден файл SVG. Якщо ваші близькі люди надсилають вам повідомлення із доданим до нього програмним забезпеченням, ви повинні попередити їх якнайшвидше про порушення їх облікового запису.

Заборонити встановлювати розширення Chrome, і навіть якщо ви якось натискаєте на файл SVG, один із способів відновити це - перейти до меню, перейти до "Розширення" за допомогою пункту "Вибрати більше інструментів", знайти розширення та видалити його, перш ніж Necumod заразить ваш система.

Наступним кроком буде завантаження потужного програмного забезпечення для безпеки в Інтернеті. System Watcher - це один з найнадійніших інструментів вирішення проблеми, розроблений Лабораторією Касперського. System Watcher доступний у всіх основних продуктах Лабораторії Касперського, таких як Антивірус Касперського, Інтернет-безпека Касперського, а також у комп’ютерній безпеці - Kaspersky Total Security.

Але якщо ви пройшли повз це, корабель безпеки відплив, і все, що ви можете зробити зараз, витріть свій жорсткий диск, щоб позбутися локського викрадення і будьте більш розсудливі щодо дивних зображень Facebook наступного разу.