Szkodnik rozprzestrzenia się za pośrednictwem komunikatora na Facebooku – podobnie jak wiele innych robaków wykorzystujących ten portal. Wiadomość zawiera tekst „Czy to ty?”, a poniżej znajduje się odsyłacz do zainfekowanej aplikacji dla Facebooka. Aplikacja jest dość prosta; ładuje nową zawartość do ramki iframe. Strona ładowana do ramki iframe jest prostą stroną phishingową, która prosi o podanie danych uwierzytelniających do Facebooka, aby użytkownik mógł zobaczyć nową treść. Poniżej zrzut ekranu strony logowania:
Postanowiłem zbadać dokładniej tę stronę phishingową, sprawdziłem więc, czy istnieją typowe foldery na serwerze - foldery mogące zwierać więcej informacji o tym robaku – i znalazłem folder zawierający dzienniki dostępu do Apache. Podczas analizowania zawartości pliku dziennika odkryłem, że ktoś próbował uzyskać dostęp do pliku o nazwie acc.txt. Pobrałem acc.txt i odkryłem, że plik zawiera skradzione konta: w pierwszej wersji acc.txt, jaką pobrałem, zobaczyłem, że osoba atakująca przechwyciła ponad 3000 kont! Zacząłem pobierać acc.txt w 5-minutowych odstępach i w ciągu 20 minut liczba skradzionych kont zwiększyła się z 3000 do ponad 6000.
Natychmiast skontaktowałem się ze specjalistami ds. bezpieczeństwa Facebooka, którzy zareagowali równie szybko i zainfekowana strona została zdjęta.
Był to bardzo prosty atak phishingowy, a mimo to jego ofiarą padły tysiące osób!!! Podejrzewam, że podobne ataki mają miejsce nawet w momencie, gdy tworzę ten wpis.
Dlatego... gdy jesteś zalogowany na Facebooku, NIE ufaj niczemu, co wysyłają ci inni, zwłaszcza gdy ktoś żąda od ciebie hasła lub informacji dotyczących karty kredytowej.