Атаката отвътре: ESET разкри вирус, откраднал над 16 000 пароли за Facebook

Next story

Нов троянец, създаден с единствената цел да краде имена и пароли на Facebook потребители, бе разкрит от ESET, лидерът в проактивната сигурност. Кодът, озаглавен PokerAgent, е засегнал над 16 000 души, чиито акаунти в социалната мрежа са компрометирани. Вирусът има и още една функция - той може да разпознава потребителите, играещи една от най-популярните онлайн игри на Zynga - Texas HoldEm Poker - в случай, че засегнатият потребител използва това приложение.

Анализът на ESET показва, че атаката се разпространява предимно в Израел. Засегнатата игра от своя страна е напълно легално приложение за Facebook, разработено от компанията Zynga. По данни на AppData, Texas HoldEm Poker има над 35 млн. активни потребители всеки месец. Изследването на троянеца започва в началото на 2012 г. Въпреки продължилото почти година разследване обаче, потребителите на продуктите на компанията са защитени от декември 2011 г., благодарение на проактивната технология за защита от заплахи. Данните за разпространението на вируса показват, че заплахата е насочена предимно срещу израелските потребители. Именно протеклото разследване съвместно с полицията и местният „Отдел за спешни действия в областта на информационната сигурност (CERT)“ е причината първата официална информация за вируса да се появи сега.

Създателят на зловредния код е използвал вируса, за да се сдобие с потребителското име и паролата за Facebook на неподозиращите жертви, постиженията им в Texas HoldEm Poker (ако е имало такива), както и за евентуално въведената информация за кредитни карати в профила на заразените потребители. Играчите на Texas HoldEm Poker могат да купуват допълнителни кредити с реални пари, за да продължат участието си в играта. Това става или чрез кредитна карта или чрез сметка в системата за електронни разплащания PayPal.

За кражбата на потребителските имена и пароли на потребителите е използвана "армия" от 800 заразени и контролирани от атакуващите компютъра. Тези машини са изпълнявани команди, подавани директно от контролния сървър. Създателят на вируса е стартирал атаката чрез потребителските имена и паролите на няколко Facebook акаунта.

"За да се предпазите от атаки, разчитащи на социално инженерство, не е достатъчно наличието само на добро решение за защита от вируси. Потребителите трябва да се научат поне малко да се пазят сами," коментира Роберт Липовски, мениджър на звеното за изследователска дейност на ESET. Потребителят може лесно да познае фалшивата страница за въвеждане на потребителско име и парола във Facebook, ако просто погледне адреса на сайта, на който се намира в момента," добавя той.

Заразените компютри са получавали команди да използват вече откраднатите от потребителите данни. След успешно влизане с данните, те са използвани допълнително за установяване на постигнатите от всеки потребител резултати в Texas HoldEm Poker, както и за всички кредитни карти, запазени от потребителя в акаунта му. В случай, че липсват данни за кредитна карта или пък ниски постижения в играта, засегнатият профил е използван за разпространяване на линк към фишинг сайт. Той е създаден с цел да подмами пряко или косвено потребителите на съответния Facebook потребител към уебсайт, наподобяващ визуално началната страница на Facebook. И съответно - примамените жертви да предоставят доброволно на хакера собствените си данни за влизане в социалната мрежа.

Въпреки че данните от анализа на ESET показват, че са засегнати общо 16 194 потребителя, реалната цифра може да е по-висока. "Затова внимавайте какви точно Facebook приложения използвате, за да не се окажете в ситуацията на заразен с подобен вирус потребител," предупреждава Спас Иванов, търговски директор на официалния представител на ESET за България Centio. Компанията има над 10-годишен опит в защитата на информацията на клиентите си. "Сега е Texas HoldEm Poker, следващият път може да е друго приложение," коментира той.

Броят атаки срещу потребителите на социални мрежи се увеличава непрекъснато, показват още данните на ESET. Затова и потребителите на новото, шесто поколение решения за защита на компанията - ESET Smart Security 6 и ESET NOD32 Antivirus 6 - са защитени от вируси, разпространяващи се през Facebook от приложението ESET Social Media Scanner. То сканира профила на потребителя за евентуално присъствие на заразени линкове, както и връзки към потенциално опасни сайтове. Освен самия потребител, приложението сканира и постовете на стените на приятелите му.