16 ezer Facebook belépést lopott el egy botnet

2013. január 30. 08:51 - Csizmazia Darab István [Rambo]

A PokerAgent nevű kártevő eddig elsősorban Izraelben jelentkezett, és összességében több, mint 800 ezer számítógépet sikerült megfertőznie.

Az ESET víruslaborja körülbelül egy éve figyelt fel egy olyan trójai programra, amely a Facebook-kal, pontosabban annak Zynga Poker App-jával volt kapcsolatos a kódban olvasható szövegek szerint. A PokerAgent nevű futtatható állomány egy olyan botnetes kártevő, amely vezérlőközpontok segítségével (C&C) kéretlen távoli irányíthatóságot hoz létre, így a bűnözők képesek azt észrevétlenül távvezérelni. Az ESET MSIL/Agent.NKY néven érzékeli a trójai különböző változatait, és az észlelési adatok alapján kijelenthető, a kártevő szempontjából legaktívabb ország Izrael volt. A víruslaborban elvégezték a kártevő elemzését, amely C# nyelven íródott, ennek köszönhetően viszonylag egyszerű volt a visszafejtés.


A kártevő készítője már jelentős számú Facebook accountot lophatott el, ugyanis a trójai fő feladata a Facebook ID alapján nyilvántartott Zynga Poker statisztika, valamint a Facebook rendszeren belül megadott fizetési, illetve hitelkártya adatok kikémlelése volt. A játékban megszerzett pontok mennyiségét, az ott elért szintet valamint a felhasználó nemét észrevétlenül továbbította a C&C szervereknek. A bejelentkezési információ birtokában a trójainak a fizetési mód megszerzéséhez mindössze a "https://secure.facebook.com/settings?tab=payments&section=methods" utasításra volt szüksége. Ezzel kapcsolatban érdemes megjegyezni, hogy mindig alaposan fontoljuk meg, milyen applikáció számára adunk meg engedélyeket, személyes adatokat, és nem csak Facebook alatt érdemes vigyázni.


A botnet másik fontos feladata az volt, hogy a Facebookon belül nevünkben írhasson az üzenőfalra, és ezáltal barátainkat, ismerőseinket is egy adathalász oldalra irányíthassa. A módszer minden esetben valamilyen erotikus kép, vagy video ígérete volt, amelynek megtekintéséhez előbb egy hamis oldalon való Facebook kinézetű belépésre volt szükség. A linkek leleplezése vagy technikai letiltása meglehetősen nehéz, vagy éppenséggel lehetetlen feladat, hiszen mindehhez dinamikusan változó URL-eket használtak. Csak találgatni tudjuk, hogy a támadó mihez kezd ezekkel a begyűjtött adatokkal. Elképzelhető, hogy később egyszerűen visszaélnek a hitelkártya-adatokkal, vagy esetleg eladják ezt az adatbázist más bűnözőknek.


Az ESET a kártevőt először 2011. decemberében detektálta, és az azóta eltelt időszakban 36 különböző variánsát is sikeresen beazonosítottak, ezek 99%-ban izraeli gépeket támadtak. Az ESET LiveGrid adatai szerint a trójai 2012. februárja után már nem terjedt aktívan, a nyomozás közben pedig az ESET együttműködött az izraeli CERT-tel, valamint a Facebook üzemeltetők felé is jelezték a támadást, hogy megakadályozzák a jövőbeni hasonló incidenseket. Mindenesetre érdemes megfogalmazni pár tanulságot a világ legnagyobb közösségi hálózatát és a legjelentősebb póker oldalt sikeresen támadó kártevővel kapcsolatosan. 


Nem elég pusztán a technikai intézkedés, hanem a megtévesztések (social engineering) ellen is fel kell mindenkinek vérteznie magát. Az igaz, hogy a hamis Facebook bejelentkező oldal kinézete megtévesztően hasonlított az eredetire, ám a böngésző címsorában könnyen azonosítható lett volna mindenki számára, hogy valótlan linken járnak. Maga a Facebook is folyamatosan igyekszik a csalók dolgát megnehezíteni, ebben az esetben célszerű lehet kihasználni a már több, mint egy éve igénybe vehető kétfaktoros azonosítási lehetőséget, magyarán ha a belépéshez a megadott mobil telefonszámunkra küldött üzenetben érkező kód begépelése is szükséges, akkor ezzel megakadályozhatjuk az illetéktelen bejelentkezést. Facebook esetében, de tulajdonképpen mindenhol érdemes óvakodni a böngészőn belüli jelszó, illetve banki adatok megjegyzése lehetőségtől, amely bár kétségkívül kényelmes metódus, ám az így tárolt adatokhoz kártevők is hozzáférhetnek.


Mindenkinek érdemes az eszébe vésnie, hogy a népszerű közösségi hálózatoknál a bűnözők is igyekeznek különféle kártékony programokat terjeszteni, így alaposan fontoljuk meg minden egyes esetben, mely alkalmazásoknak, app-oknak, linkeknek szavazunk bizalmat. Ebben természetesen segítségre is számíthatunk, hiszen a 6-os verziójú NOD32, illetve ESET Smart Security debütálásával megjelent ESET Social Media Scanner applikáció igen hatékony fegyver a védekezéshez. Az alkalmazás átnézi az üzenőfalon megjelenő posztokat, híreket és felhasználói üzeneteket is, hogy azok ne tehessenek kárt a gépben, illetve ismerőseink üzenőfalát is képes ellenőrizni.

Szólj hozzá!

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr875052448

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.