現在、マルウェア攻撃の波がFacebook Messengerを通じて広がり、マルチプラットフォームのマルウェア/アドウェアを提供しています。 攻撃者は追跡を防ぐために多くのドメインを使用しています。 コードに関する研究はまだ進行中です。

Facebookマルウェア拡散メカニズム

コードの元の拡散メカニズムはFacebook Messengerですが、その拡散方法はまだ不明です。 これには、クリックジャッキング、ブラウザのハイジャック、または盗まれた資格情報が含まれる場合があります。

メッセージは、従来のソーシャルエンジニアリングを使用して、ユーザーをだましてリンクをクリックさせます。 メッセージは、David Videoを読み取り、次にbit.lyリンクを読み取ります。 リンクはGoogleドキュメントを指しており、ドキュメントはすでに被害者のFacebookページから写真を取得しており、再生可能な映画と同じように見える動的なランディングページを作成しています。 いわゆる映画をクリックすると、マルウェアはブラウザ、OS、およびより重要な情報を列挙する一連のWebサイトにリダイレクトします。

この手法は以前に使用された

このメソッドは多くの名前を備えており、新しいものではありません。ジオロケーション、言語、OS、ブラウザ情報、インストールされたプラグイン、Cookieを含む特定の機能に基づいてユーザーをリダイレクトするドメインチェーンとして簡単に説明できます。

このコードは、より多くのWebサイトを介してブラウザを移動し、追跡Cookieを使用してアクティビティを監視します。 また、広告を表示し、ソーシャルエンジニアがリンクをクリックするようにできます。

Facebookマルウェアをブロックする方法

このようなアドウェアキャンペーンでFacebookが使用されて以来、かなり長い間、このコードもカスタマイズされたランディングページでGoogleドキュメントを使用しているという事実は非常にユニークです。 実際のエクスプロイトやトロイの木馬はダウンロードされていませんが、このコードの背後にいる人々はおそらく広告でたくさんのお金を稼いでおり、たくさんのFacebookアカウントにアクセスしています。 このようなリンクをクリックせず、アンチウイルスを更新することにより、ハッキングを防ぐことができます。