被”瘟神”锁定的FACEBOOK,再起波澜

Posted on May 2, 2018 at 11:37 AM

被”瘟神”锁定的FACEBOOK,再起波澜

网络安全和应用交付解决方案提供商Radware公司日前发布检测报告,在线绘图程序中植入的恶意代码,专门收集Facebook的账号数据和身份认证信息,并确认其用于勒索病毒和身份盗用。

Radware的网络安全威胁分析师在4月12日首先发现了名为’Stresspaint’的木马病毒。虽然研究人员尚且无法确认分发途径,但是他们怀疑与邮件和Facebook的在线应用有密切的关系。这个名为Stresspaint的新木马隐藏在一个名为“Relieve Stress Paint”的免费Windows应用程序中。直至目前位置,感染木马的用户数达到了40000人次。

 

攻击分析

该应用程序通过аоӏ.net的网站发布,并通过恶意邮件传播网站地址,邮件中受害中误以为是普通的在线网站。但其实不然,аоӏ.net是一个使用Unicode字符的域,当它转换为Punycode时拼写为xn--80a2a18a.net。当访问该网站时,植入木马病毒的恶意软件将被下载,有画笔和改变颜色和粗细的工具栏等组件等构成,看起来是个画板小程序,其实却暗藏杀机。

该程序加载后常驻后台进程中,并以“Stresspaint”存在。并从受害者那里收集Chrome登录数据以及会话cookie,可以试试获取到Facebook上面的个人资料,朋友列表,链接信息等,尤其对付款信息进行保存上传。值得一提的是,在恶意程序中查找到可线升级的Instagram接口配置文件,这就意味着可以通过该接口更新木马程序的指令和功能,会引发更严重的安全问题。恶意软件已将可执行文件的权限提高到管理员的等级,并在注册表中写入相应的键值,然后感染病毒后无法卸载,而且每次重启计算机后恶意软件都会自动运行。

 

恶意软件的控制管理系统

恶意软件操纵者使用了基于Layuicms 2.0版本的开源内容管理系统,网络安全分析人员获取到相应权限访问到该系统,发现了恶意软件手机了大量的个人信息和一些敏感数据。令人毛骨悚然的是,研究人员发现,该恶意病毒开发小组已经在筹备针对亚马逊网站的攻击,很明显他们早已关注上了这个电子商务大鳄。在后台的控制管理系统中,已经发现了另一个版本的恶意程序变种。研究人员表示,该组织尚处在数据收集阶段,对于他们的未来的意图不是很明确。但Radware分析师表示窃取个人信息和数据,无疑会被用于勒索,诈骗,甚至间谍活动中。

 

Facebook发声

Facebook官网发表声明,称研发团队已经开始调查此问题。同时,提醒用户仔细检查发件人的邮件地址,不要安全不受信任的第三方程序。并且他们为已经感染木马的用户提供了免费的查杀工具。


Related Stories:

Newsletter

Get the latest stories straight
into your inbox!

%d bloggers like this: