Вредоносная программа, распространяющаяся при помощи спама в Facebook, в кратчайшие сроки захватила тысячи учётных записей социальной сети.
Злоумышленники использовали похищенные пароли для спама и торговли «лайками». Атака началась 24 июня. Несмотря на то, что троян представлял угрозу только для пользователей Windows и браузера Chrome, его жертвами за считанные часы стали около 10 тысяч пользователей.
27 июня соцсеть Facebook заблокировала рассылаемый вредоносной программой спам, а компания Google удалила вредоносное расширение из Chrome Web Store. Только после этого атака прекратилась. Сценарий атаки делится на два этапа. Первый этап начинается, когда жертва получает отправленное злоумышленниками сообщение в Facebook и кликает по ссылке. В сообщении говорится, что имя пользователя упомянуто в одном из комментариев. При этом оно выглядит так, будто его прислал знакомый, поэтому обмануться очень просто.
Переход по ссылке приводит к тому, что на компьютер жертвы оказывается установлен троян. После этого начинается вторая стадия: троян незаметно скачивает и устанавливает расширение для браузера Chrome, которое крадёт пароли. Расширение дожидается, когда пользователь снова зайдёт на Facebook, и заставляет его перелогиниться. Введённые логин и пароль отправляются на сервер, принадлежащий злоумышленникам.
Заполучив пароль и логин, злоумышленники (их программное обеспечение) могут действовать в Facebook от имени жертвы. Сначала они рассылают ссылку на троян всем друзьям, а затем принимаются ставить «лайки» и делиться рекламными постами.
По всей видимости, рекламные «лайки» и ссылки — это и есть услуга, которую злоумышленники предоставляют за деньги, а вредоносная программа понадобилась им для того, чтобы создать сеть захваченных учётных записей, необходимую для выполнения заказов.
Большинство пострадавших находилось в Бразилии и других странах Южной Америки, таких как Перу, Эквадор и Венесуэла. Кроме того, заметное число жертв трояна зафиксировано в Польше, Мексике, Греции, Португалии, Тунисе, Германии и Израиле.
