В Facebook активно распространяется вирус-вымогатель, прикрывающийся изображением с расширением SVG, которое передается через личные сообщения.
Зловредный софт, судя по сообщениям как российских, так и зарубежных СМИ, поразил не только рунет, но и западный сегмент интернета.
Эксперт по безопасности Барт Блейз одним из первых в отрасли информбезопасности рассказал в своем блоге о вирусе, который маскируется под изображения в Facebook.
Злоумышленники, как пишет Блейз, встраивают в SVG-файлы вредоносный код. После перехода по ссылке, зашифрованной в сообщении, пользователь попадает на сайт, который выглядит как YouTube. На нем жертв вынуждают скачать плагин под браузер Chrome для просмотра видео, который поражен зловредом.
Затем инфицированный компьютер начинает слать вирус пользователям, которые находятся у жертвы в друзьях. Также запускается вымогатель Locky, который кодирует данные на устройстве и предлагает заплатить деньги за их расшифровку.
В свою очередь, исследователи Check Point считают, что эта кампания стала возможной благодаря применению технологии ImageGate. Как указывают эксперты, ранее этот вопрос оставался открытым.
Специалисты Check Point обнаружили вектор атак, который затрагивает крупные веб-сайты и международные социальные сети, включая Facebook и LinkedIn. Последняя с недавних пор заблокирована в России.
Отмечается, что еще в начале сентября Check Point проинформировал руководство сервисов о существующей угрозе.
По оценкам экспертов, эта кампания с применением Locky до сих пор активна, а новые ее жертвы появляются каждый день.
В то же время в блоге Блейза еще 22 ноября было сказано, что опасное расширение удаляется из магазина плагинов Chrome, а Facebook начал фильтровать SVG-файлы.
«Поскольку все больше людей сегодня проводят время в социальных сетях, хакеры пытаются это использовать. Киберпреступники понимают, что эти сайты обычно находятся в «белых списках», поэтому постоянно ищут новые способы их использования в качестве площадок для своих вредоносных действий», — отметил глава подразделения по исследованию уязвимостей продуктов компании Check Point Software Technologies Одед Вануну.
Специалисты компании даже показали видео о том, как происходит заражение. Примечательно, что ролик сопровождается умиротворяющим треком «Intro» коллектива The xx, словно на видео показана вовсе не хакерская атака с последующим вымогательством денег, а море, солнце, пальмы.
<2>
В отличие от способа атаки, который описал Блейз, у Check Point ничего не говорится про сайт, притворяющийся YouTube. Эксперты считают, что заражение происходит моментально через загрузку зловредного SVG-файла.
Подробное техническое описание атаки будет опубликовано компанией только после исправления уязвимости в большинстве подверженных ей сайтов.
Эксперты очередной раз напоминают, что не стоит открывать изображения с необычным расширением (SVG, JS или HTA), а при случайном клике на зараженную картинку советуют не запускать файл. К тому же соцсети, как правило, отображают превью фотографии без самой загрузки.
Ко всему прочему, чтобы избежать подобных случаев, рекомендуется использовать актуальные версии антивирусов.