IT-säkerhetstankar v2.0

Hakuna Matata!

Det känns som att jag inte gör något annat än Facebook-maskar och annat otrevligt som finns där. Nu var det dags igen för ännu ett inlägg om just en applikation som sprids som en löpeld på Facebook. De flesta av er har säkert läst eller stött på någon variant på ”Stalker” applikationerna. Detta är applikationer som påstår kunna visa hur många (och vilka) som varit inne och tittat på din profil. Man skall antingen klicka på en länk, eller klistra in ett JavaScript i webbläsaren.

JavaScriptet som man skall köra i webbläsaren laddar sedan ännu fler script från andra servrar. Att de använder sig av flera domäner är b.la för att förhindra att exempelvis AntiVirus-program ska blockera domänerna. Tidigare har både sidorna och även meddelandet som skrivs på Facebook varit på Engelska, men nu har vi sett att de ändrar sin taktik lite och lokaliserar skripten. Nedanför är en skärmdump från en aktiv ”mask” som sprids på Svenska:

”Applikationen” sprider sig på Facebook, genom att skriva ett meddelande som ser ut att vara skrivit av den användaren. Du har de vanliga ”Like” och ”Comment”-knapparna, men sedan har du en ny som heter ”Scan Profile”. När man klickar på ”Scan Profile” så hamnar man på sidan som vill att du skall köra skriptet. Ett exempel av meddelandet finns nedan:

Under vår analys så upptäkte vi att alla domäner pekade till samma IP, och vi kunde via en dålig konfiguration ta fram ALLA domäner som denna masken anavänder, vilket var totalt: 44st. I dagsläget vet vi inte vad dessa apparna gör, oftase handlar det bara om reklam och spam, men det händer ofta att dom ändrar form och faktiskt blir skadliga och försöker infektera era datorer. Vi på Kaspersky jobbar nu med att blockera dessa domäner och JavaScript så se till att uppdatera ert antivirus och var uppmärksamma så ni inte luras på Facebook, man vet aldrig vad dessa applikationer gör för något förren det är för sent!