Поддельное расширение для Chrome взламывает учетные данные пользователей в Facebook

IT-специалисты из компании Bitdefender обнаружили в сети новую фишинговую атаку на пользователей социальной сети Facebook. Мошенники отправляют потенциальным жертвам спам письма, содержащие ссылку на вредоносный ресурс, на котором якобы можно скачать бизнес версию Flash Player – расширение для браузера Chrome.

После установки на компьютер пользователя вредоносная версия Flash Player начинает отслеживать его интернет-деятельность. При посещении учетной записи в Facebook, вредоносная программа осуществляет поиск cookie-файлов для того, чтобы определить, находится ли пользователь сейчас в соцсети. Если учетная запись активна, то злоумышленники встраивают Javascript-код в web-страницу и осуществляют вредоносную деятельность. К примеру, мошенники могут рассылать спам-сообщения, или размещать ссылки на вредоносные страницы в учетной записи пользователя.

Помимо этого, злоумышленники также могут похитить cookie-файлы, связанные с учетной записью пользователя в Facebook, и получит к ней доступ с другого компьютера.

Вредоносный код позволяет увеличивать количество отметок «нравится» на конкретных страницах. Впоследствии такие страницы продаются на подпольных форумах. Дело в том, что страницы с большим количество отметок «нравится» получают высокий рейтинг и заинтересовывают других пользователей. С их помощью злоумышленники могут распространять какой-либо контент и любое вредоносное ПО. На черном рынке учетные записи с большим количеством отметок «нравится» продаются за $150 - $200. 

Аналитик компании BitDefender Богдан Ботезату (Bogdan Botezatu) отметил, что обнаружить эту инфекцию могут только антивирусные программы с активированными web-фильтрами. В связи с этим зафиксированная исследователями угроза может сохраняться в браузере в течение достаточно длительного времени.