Вредоносная программа, распространяющаяся при помощи спама в Facebook, в кратчайшие сроки захватила тысячи учётных записей социальной сети. Злоумышленники использовали похищенные пароли для спама и торговли "лайками".
Атака началась 24 июня. Несмотря на то, что троян представлял угрозу только для пользователей Windows и браузера Chrome, его жертвами за считанные часы стали около 10 тысяч пользователей. 27 июня последовала реакция от Facebook, заблокировавшего рассылаемый вредоносной программой спам, и Google, удалившего вредоносное расширение из Chrome Web Store. Только после этого атака захлебнулась.
Сценарий атаки делится на два этапа. Первый этап начинается, когда жертва получает отправленное злоумышленниками сообщение в Facebook и кликает по ссылке. В сообщении говорится, что имя пользователя упомянуто в одном из комментариев. При этом оно выглядит так, будто его прислал знакомый, поэтому обмануться нетрудно.
Переход по ссылке приводит к тому, что на компьютер жертвы оказывается установлен троян. После этого начинается вторая стадия: троян незаметно скачивает и устанавливает расширение для браузера Chrome, которое крадёт пароли.
Расширение дожидается, когда пользователь снова зайдёт на Facebook, и заставляет его перелогиниться. Введённые логин и пароль отправляются на сервер, принадлежащий злоумышленникам.
Заполучив пароль и логин, злоумышленники (или, если быть точным, их программное обеспечение) могут действовать в Facebook от имени жертвы. Сначала они рассылают ссылку на троян всем её друзьям, а затем принимаются ставить "лайки" и делиться рекламными постами.
По всей видимости, рекламные "лайки" и ссылки — это и есть услуга, которую злоумышленники предоставляют за деньги, а вредоносная программа понадобилась им для того, чтобы создать сеть захваченных учётных записей, необходимую для выполнения заказов.
Большинство пострадавших находилось в Бразилии и других странах Южной Америки, таких как Перу, Эквадор и Венесуэла. Кроме того, заметное число жертв трояна зафиксировано в Польше, Мексике, Греции, Португалии, Тунисе, Германии и Израиле.
