Facebook遭攻击源自账号收集的恶意软件

新出现的一种新的Dorkbot变种恶意软件,可以经Facebook的内部聊天服务转播,为网络犯罪分子提供了一个收集用户密码的工具。

近段来,美国、印度、葡萄牙、联合王国、德国、土耳其和罗马尼亚的Facebook用户受到这种恶意软件的困扰。BitDefender研究人员新近找到了传播这种恶意软件的链接。Bitdefender星期一说不知道感染的范围有多大,但是在24小时内,他们检测到多达9,000个指向这种恶意软件的链接。

BitDefender将发现通知Facebook后,Facebook在星期二清除了受到感染的网页。

BitDefender的高级电子威胁分析师波格丹·博泰扎图(Bogdan Botezatu)说,“他们的反应非常迅速,可能籍此保护了很多用户。”

网络犯罪分子利用文件共享网站Mediafire系统的一个漏洞传播恶意软件,手法特别。电脑一旦被感染后,恶意软件会通过Facebook的聊天服务向受害人的Facebook朋友发送链接,链接指向一恶意App程序。

链接的后缀是JPG,其目的是让接收者相信链接是指向一张图片。点击此链接后会下载并运行一个恶意软件。

博泰扎图(Botezatu)说,恶意软件一旦下载到电脑以后,就会监视受害者的网页浏览活动并搜集密码。被感染的电脑也可以用于分布式拒绝服务(DDoS)攻击。

Dorkbot可更新自己,并且可以阻止防病毒软件运行安全更新。Dorkbot也可以从一个命令和控制(C&C)服务器上下载软件,做发垃圾邮件和Ransomware用。

Dorkbot以及变种自2003年以来就一直在网上流传。除了这次新的变种外,Dorkbot上一次的疯狂传播是2001年。当时是通过几个即时消息客户端转播的,包括Yahoo Messenger,Pidgin以及XChat。

Dorkbot通过僵尸网络(Botnet)传播。僵尸网络则是利用互联网的IRC协议进行传播的。

博泰扎图(Botezatu)说,“Dorkbot的主要用途是感染尽可能多的计算机。”除了建立一个大的僵尸网络,该恶意软件的主要用途是账号收集和分布式拒绝服务(DDoS)攻击。

Spamhaus是一个反垃圾电子邮件小组。鉴于一些基于IRC的僵尸网络传播Virut恶意软件, Spamhaus曾在一月取消很多有关的域名。Virut一旦安装到电脑上后,会通过一个加密连接连到IRC服务器上,从而让攻击者可以控制受感染的电脑。

IRC Bot源于1993年的一个善意的EggDrop Bot。第一个恶意Bot名为GTbot,是1998年发现的。

网络罪犯常常利用一个基于IRC的命令控制型的集中式结构,部分原因是因为很多人对有关这种结构的源码技术有很深的了解。自2000年以来,犯罪分子也开始使用非集中式P2P技术,要关闭使用这种技术的僵尸网络要困难得多。