Výskumníci bezpečnostnej spoločnosti ESET analyzovali škodlivý kód, ktorý sa šíri cez Facebook a vďaka sociálnemu inžinierstvu infikuje internetový prehliadač Google Chrome. Nie je však vylúčené, že jeho tvorca vytvorí aj verzie pre iné internetové prehliadače. Škodlivé rozšírenie (plug-in) prehliadača šíria nedobrovoľne infikovaní používatelia Facebooku. Rozšírenie podsúva kontaktom infikovaného používateľa odkaz na stránku, na ktorej sa má nachádzať video s názvom „My first video“, „My video“ alebo „Private video“. Tá ich však navedie k inštalácii škodlivého rozšírenia, čím prichádzajú o heslo do svojho Facebook účtu a v niektorých prípadoch aj o samotný prístup do tejto sociálnej siete.
Škodlivé rozšírenie, ktoré ESET deteguje ako JS/Kilim.SO alebo JS/Kilim.RG, si našlo svoje obete aj na Slovensku a v Českej republike. Používateľ Facebooku dostane buď správu od svojho infikovaného kamaráta, alebo ho jeho kontakt otaguje vo svojom príspevku. Správa a aj príspevok obsahujú link na stránku, ktorá má obsahovať jeho video. Po kliknutí na link sa používateľovi zobrazí falošná verzia stránky Youtube s informáciou, že si video bude môcť pozrieť až po tom, čo si nainštaluje rozšírenie Video Play. Ak si tento link otvoril v prehliadači Google Chrome a rozšírenie si nainštaluje, jeho prehliadač je infikovaný a veľmi rýchlo začína odkaz na falošný Youtube šíriť ďalej medzi jeho kontakty. Škodlivý kód vie okrem toho ukradnutému Facebook účtu pridávať kamarátov, vytvárať Facebook stránky, zdieľať, meniť a skrývať príspevky. Táto funkcionalita však aktuálne nie je používaná.
„Táto kampaň šíri škodlivé správy a infikuje Facebook účty s vysokou mierou úspešnosti. Aktuálne sa zameriava len na používateľov prehliadača Chrome, neexistuje však garancia, že sa v budúcnosti nerozšíri aj do iných prehliadačov. Má taktiež potenciál šíriť iný a nebezpečnejší škodlivý kód s inými vlastnosťami,“ hovorí Lukáš Štefanko, analytik škodlivého kódu zo spoločnosti ESET.
Medzi ďalšie zasiahnuté krajiny patrí USA, Kanada, Austrália, Veľká Británia, Nový Zéland, Rusko, Nemecko, Švajčiarsko, Poľsko, Dubaj, India, Singapur, Nórsko, Grécko, Maďarsko, Turecko, Izrael, Peru, Thajsko, Argentína, Filipíny a mnohé ďalšie.
Ak ste sa stali obeťou tohto škodlivého kódu:
- V prvom rade zo svojho Google Chrome prehliadača odstráňte rozšírenie s názvom „Make a GIF“. To je totiž skutočný názov škodlivého rozšírenia. Aj tento názov je však ukradnutý od legitímneho rozšírenia, ktoré používateľom pomáha vytvárať GIF obrázky. Autorom legitímneho rozšírenia je však makeagif.com, autorom škodlivého je freechatfor.org.
Rozšírenie odstránite buď zadaním reťazca chrome://extensions/ do adresového riadku Google Chrome, alebo priamo v nastaveniach Google Chrome cez Customize and control Google Chrome -> More tools -> Extensions -> Make a GIF -> Remove from Chrome. - Preskenujte si počítač spoľahlivým bezpečnostným softvérom. Ak žiaden nemáte, môžete použiť bezplatné riešenie ESET Online Scanner.
- Až po preskenovaní a vyčistení počítača si zmeňte heslo do Facebooku, prípadne tak spravte cez iné bezpečné zariadenie. Heslo si určite nemeňte na počítači s infikovaným internetovým prehliadačom, aj k novému heslu by sa totiž dostal útočník.