Facebook-Spam verbreitet sich über mehrere Funktionen

Originalartikel von Paul Pajares (Fraud Analyst)

Es gab in der Vergangenheit bereits verschiedene Arten von Facebook-Spam, der sich jeweils unterschiedlicher Funktionen der Social-Networking-Website zunutze machte um sich auszubreiten. Es gab Pinnwandeinträge, Ereignisse und Chat-Nachrichten, die Links zu bösartigen Skripts versendeten.

Dieses Mal handelt es sich um einen Spam-Rundlauf, der nicht nur eine einzelne der oben erwähnten Facebook-Funktionen verwendet, sondern alle.

Bei diesem Angriff erhalten die Nutzer eine Spam-Mail, die sie zum Klicken auf eine URL auffordert, wenn sie wissen wollen, wie sie in 20 Jahren aussehen. Die Nutzer gelangen dann auf eine Website, wo sie gewisse Schritte ausführen sollen. Der erste Schritt besteht darin, einen bestimmten Codeausschnitt in die Adressleiste ihres Browsers zu kopieren.

Zum Vergrößern klicken

Dann werden sie aufgefordert, sich an ihrem Facebook-Konto anzumelden. Die Anmeldung löst Folgendes aus:

Das Skript erstellt einen Eintrag auf der Facebook-Pinnwand, mit dem alle derzeitigen Online-Kontakte des Nutzers verknüpft werden. Der besagte Pinnwandeintrag enthält dieselbe URL, auf die die Nutzer geklickt haben, und die Nachricht "yeah mine is very funny!! check yours out : ))." Die betroffenen Anwender kennzeichnen dann automatisch den Eintrag als "Gefällt mir" mit dem Kommentar "oomg I look funny as hell haha".

Zum Vergrößern klicken

Die Kontakte der betroffenen Nutzer erhalten die Spam-Nachrichten mit derselben URL, die sie über die Chat-Funktion von Facebook angeklickt haben.

Zum Vergrößern klicken

Das Skript erstellt auch ein Facebook-Ereignis mit dem Namen "See your face in 20 years" zusammen mit der Nachricht "Hey yo guys, I found a cool site that tells you how you will look like in 20 years old" und derselben URL, auf die die betroffenen Nutzer geklickt haben.

Zum Vergrößern klicken

Eine Analyse des Skripts, das die oben erwähnten Routinen auslöst, hatb ergeben, dass das Skript den bösartigen Link auch über die Funktion Facebook Notizen verbreiten kann. Es erstellt eine Notiz, die zu der URL führt und dann die Freunde der betroffenen Anwender kennzeichnet, um diese dazu zu verleiten, auf dieselbe URL zu klicken.

Wir konnten die besagte Technik nicht replizieren, jedoch einen ähnlichen Rundlauf anzeigen, indem wir den unten abgebildeten, bekannten "Stalking"-Pitch verwendeten.

Zum Vergrößern klicken

Der Link im Spam-Rundlauf nutzte den URL-Abkürzungsservice von Google. Dieser wurde bereits von Google gesperrt. Auch Trend Micro Kunden müssen sich keine Sorgen machen, da die Bedrohung bereits als JS_MALAGENT.PB entdeckt und gesperrt wurde. Weitere Informationen zu Social-Networking-Bedrohungen finden Sie im Bericht Spam, Scams, and Other Social Media Threats.

Update vom 08.05.2011, 19:50:00 Uhr PST

Nach einer Skriptanalyse habe ich beobachtet, dass das bösartige Skript neben dem Pinnwandeintrag und den über die Chat-Funktion von Facebook empfangenen Nachrichten folgende Vorgänge auslöst:

  • Es kennzeichtnet unwissentlich Fanseiten wie "Chavs, la segunda llegada de Jesus" und "I like turtles" mit "Gefällt mir". Im Skript sehen wir, wie die Fanseiten-Kennungen 121152571296756 und 206943176013105 zum unten angezeigten Bild aufgelöst werden.

  • Der Nutzer wird unwissentlich dazu gebracht, eine Seite mit einer Facebook-Anwendung zu besuchen und möglicherweise mit "Gefällt mir"; zu kennzeichnen. Die Schaltfläche zum Öffnen der App zeigt auf die URL htp://{GESPERRT}b.phankp.info, die zu einer Webseite führt, auf der Anweisungen zum Kopieren des Codes in die URL-Adressleiste gegeben werden. Die besuchte Anwendung variiert von Zeit zu Zeit.
    Zum Vergrößern klicken
  • Es kennzeichnet möglicherweise eines über das Skript angezeigte Foto mit "Gefällt mir", wo es einen Variablennamen "photoID" mit dem Wert 1852471804837 gibt. Auch die Fotos variieren je nach verwendetem photoID-Wert.
    Zum Vergrößern klicken

Nach den Spam-Routinen werden die Anwender auf die endgültige Startseite http://{Domaenenname}.info/final.php weitergeleitet. Sobald die Nutzer auf die Schaltfläche "Weiter" geklickt haben, gelangen sie auf eine Anleitungsseite mit einem YouTube-Video. Die Cyber-Kriminellen, die hinter diesem Angriff stecken, beabsichtigen ein hohes SEO-Page-Ranking durch Werbung für Gateway-Sites wie {GESPERRT}aid.net und {GESPERRT}sionpromotion.info.

Zum Vergrößern klicken

Ein Gedanke zu „Facebook-Spam verbreitet sich über mehrere Funktionen

  1. Pingback: App-Flash » Facebook-Spam verbreitet sich über mehrere Funktionen » blog …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*