Original Artikel von Jonell Baltazar (Advanced Threats Researcher, Trend Micro)
Das Koobface-Bot-Netz ist berüchtigt dafür, FAKEAV oder betrügerische Antiviren-Malware auf die Computer seiner Opfer zu installieren – für das Installieren von FAKEAV ist eine spezielle Komponente zuständig. Jetzt aber hat die Koobface-Gang eine weitere Falltür in ihre gefälschte Facebook-Seite eingebaut:
Sobald der Benutzer das Fenster oder die Registerkarte „Facebook“ schließt, wird ein Popup-Fenster angezeigt. Egal, auf welche Schaltfläche der Benutzer klickt – die neue Koobface-Variante wird auf den Computer heruntergeladen. Das folgende Video veranschaulicht den Vorgang:
Mit diesem Skript führen die Cyber-Kriminellen die neue Routine aus, die allerdings nur funktioniert, wenn die gefälschte Seite über den Internet Explorer geöffnet wird.
Abbildung 1: Koobface-Skript
Das oben stehende Skript lässt dem Benutzer nur die Wahl zwischen zwei Übeln: Schließt er das Browser-Fenster, wird eine FakeAV-Variante heruntergeladen (entdeckt als TROJ_FAKEAV.FGR), klickt er dagegen irgendwo an anderer Stelle auf der Webseite, wird ein Koobface-Loader heruntergeladen (entdeckt als WORM_KOOBFACE.AZ).