Facebook Veranstaltungen, Gutschriften und Kennwörter im Visier der Angreifer

Originalartikel von Paul Pajares (Fraud Analyst)

Facebook hat sein Service-Angebot ausgeweitet und stellt so eine Plattform bereit, auf der die Benutzer weit mehr als nur miteinander kommunizieren können. Schon oft wurde vermutet, dass Facebook E-Mails als Kommunikationsmittel ersetzen könnte, da die Website den Benutzern weitaus bequemere Möglichkeiten zum Versenden von Nachrichten bietet als herkömmliche E-Mail-Programme.

Diese Möglichkeit haben sich allerdings auch Cyber-Kriminelle zunutze gemacht: In einem aktuellen Spam-Angriff wurden Benutzer dazu angehalten, eine Anwendung mit dem Namen Facebook Messenger herunterzuladen, die den Zugriff auf Nachrichten, die an ihre Facebook-Konten gesendet wurden, angeblich vereinfachen sollte.

Der Angriff beginnt mit Spam-Nachrichten, die wie eine Facebook-Benachrichtigung aussehen. In dieser E-Mail wird der Benutzer über eine Nachricht informiert, die an sein Facebook-Konto gesendet wurde. Der Benutzer soll auf einen Link in der E-Mail klicken, um die entsprechende Nachricht zu öffnen. Kommt der Benutzer dieser Aufforderung nach, wird eine Download-Seite angezeigt, von der der so genannte Facebook Messenger heruntergeladen wird.

Die heruntergeladene Datei FacebookMessengerSetup.exe ist bösartig und wurde als BKDR_QUEJOB.EVL identifiziert. Sie öffnet den TCP-Port 1098 und wartet auf Befehle von einem bösartigen Angreifer, um beispielsweise die Datei BKDR_QUEJOB.EVL zu aktualisieren, weitere bösartige Dateien herunterzuladen und auszuführen oder bestimmte Prozesse zu starten. Außerdem fragt die Datei Informationen vom System ab, wie installierte Antiviren-Produkte und die Betriebssystemversion. Diese Daten werden in einem bestimmten SMTP gesammelt.

Weitere gezielte Angriffe auf Facebook-Benutzer

Anscheinend haben es die Cyber-Kriminellen zurzeit auf Facebook-Benutzer abgesehen, denn der beschriebene Angriff ist nicht der einzige, den wir in den letzten Tagen beobachtet haben.

Bei einem anderen Spam-Rundlauf wurde den Empfängern mitgeteilt, dass ihr Facebook-Kennwort nicht sicher ist und sie ein angehängtes Dokument öffnen sollen, das ein neues Kennwort und Informationen zum weiteren Schutz des Kontos enthält. Ironischerweise handelte es sich bei besagtem angehängten Dokument um die Malware TROJ_DOFOIL.VI.

Ähnliche Angriffe zielen auf die Funktion Facebook-Veranstaltungen ab. Dieses Mal stand allerdings eine andere beliebte Facebook-Funktion im Mittelpunkt: die Gutschriften (Credits).

Die Benutzer wurden über eine angebliche Störung im Facebook-System informiert, die mithilfe einiger Anweisungen einfach behoben werden könnte. Ähnlich wie bei der Technik, die im Facebook Stalker Tracker-Angriff eingesetzt wurde, sollten die Benutzer einen Code kopieren und in ihren Webbrowser einfügen. Beim Ausführen des Skripts wird eine Veranstaltung erstellt und eine entsprechende Einladung an die Kontakte der betroffenen Benutzer versendet. Die „Veranstaltung“ enthält Spam-Informationen, wie zum Beispiel Links zum Arzneimittelversand "Canadian Pharmacy".

Das Skript, das für die Spam-Veranstaltung verwendet wird, wurde als JS_OBFUS.PB identifiziert.

Benutzer von Trend Micro Produkten sind dank dem Trend Micro™ Smart Protection Network™ bereits bestens vor den beschriebenen Bedrohungen geschützt. Facebook-Benutzer sollten sich darüber im Klaren sein, dass derartige Angriffsarten im Internet weit verbreitet sind. Sie sollten äußerst vorsichtig sein, wenn sie auf Links klicken. Weitere Informationen finden Sie in unserem umfassenden Bericht Spam, Scams and Other Social Media Threats.

Zusätzliche Texte und Analysen von Dhan Praga und Harry Reynoso

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*