-Produktempfehlung: Kaspersky lab-

Microsoft hat einen neuen Trojaner entdeckt, der Facebook-Accounts der Nutzer übernimmt. Laut Microsoft nennt sich der Trojaner “Febipos” (Trojan: JS/Febipos A) und wird über eine Browser-Erweiterung für die Browser: “Google Chrome” und “Firefox” eingeschleust. Für die Browser Internet Explorer und Safari gibt es diese Erweiterung bisher nicht. Um welche Erweiterung es sich handelt, wurde leider nicht erwähnt. Fakt ist aber, dass der Trojaner prüft ob ein Nutzer bei Facebook eingeloggt ist und  dann “im Namen” des jeweiligen Nutzers diverse Statusbeiträge zu “VIDEOS” über “MOBBINGOPFER” bzw. zu einer “AUTOWERBUNG” verbreitet. Nicht nur als “eigener” Statusbeitrag” wird dies veröffentlicht, sondern auch auf anderen Profilseiten. Dort hinterlässt der jeweilige Nutzer dann diverse “KOMMENTARE” die zumeist mit einer “AUTOWERBUNG” zu tun haben.

Im Moment sind BRASILIEN und PORTUGAL von dieser Attacke betroffen.
Wir denken aber, dass diese bösartige Browsererweiterung auch in Kürze den Deutschsprachigen-Raum erreichen wird.

Was macht der Trojaner?

Der Trojaner ÜBERWACHT den infizierten Browser (im Moment Chrome und Firefox) und sieht nach, ob der jeweilige Nutzer bei Facebook eingeloggt ist.
Ist der Nutzer angemeldet, dann versucht der Trojaner eine “Konfigurationsdatei” zu laden die eine Reihe an diversen “BEFEHLEN” enthält, die dann wiederum von der “ERWEITERUNG” ausgeführt werden können.

Über folgende URLs versucht sich der Trojaner zu aktualisieren:

Chrome: du-pont.info/updates/<removed>/BL-chromebrasil.crx
Mozilla Firefox: du-pont.info/updates/<removed>/BL-mozillabrasil.xpi

 

Wie sich der Trojaner installiert bzw. um welche Erweiterungen es sich handelt, teilte Microsoft leider nicht mit.

Welche Befehle sind das?

Unter anderem ist bekannt, dass der Trojaner dann “im Namen” des jeweiligen Nutzers Statusbeiträge (inkl. Links) zu “VIDEOS” über “MOBBINGOPFER” bzw. zu einer “AUTOWERBUNG” verbreitet.
Nicht nur als “eigener” Statusbeitrag” wird dies veröffentlicht, sondern auch auf anderen Profilseiten. Dort hinterlässt der jeweilige Nutzer dann diverse “KOMMENTARE” die zumeist mit einer “AUTOWERBUNG” zu tun haben.

Weiter “Befehle” des Trojaners sind:

– das automatische “Liken” von anderen Seiten

– das automatische “Teilen” von Seiten und Beiträgen

– das automatische “Beitreten in Gruppen”

– das automatische “Einladen von Freunden in Gruppen”

– das automatische “chatten mit Freunden”

ZDDK-INFO

1) Halte deine Antivirensoftware immer am aktuellsten Stand (Update)
2) Halte dein Betriebssystem ebenfalls immer am aktuellsten Stand (Update)
3) Installiere / Beziehe Browser-Erweiterungen (Addons) nur immer  über offizielle Quellen.

Verweise:

Bericht von Microsoft: http://blogs.technet.com/b/mmpc/archive/2013/05/10/browser-extension-hijacks-facebook-profiles.aspx

 

Wir behalten diesen Schädling im Auge und werden ggf. diesen Bericht ergänzen!

-Mimikama unterstützen-

Weil du diesen Bericht zu Ende gelesen hast…

Kannst du uns bitte einen kleinen Gefallen tun? Mehr Menschen denn je lesen die Artikel von mimikama.at, aber die Werbeerträge sinken rapide. Anders als andere Organisationen haben wir keine “Pay-Wall” eingerichtet, denn wir möchten unsere Inhalte für alle Interessierten so offen wie möglich halten. Der unabhängige Enthüllungsjournalismus von mimikama.at bedeutet jedoch harte Arbeit, er kostet eine Menge Zeit und auch Geld. Aber wir tun es, weil es wichtig und richtig ist, in Zeiten wie diesen Internetnutzer mit transparenten Informationen zu versorgen. Wir hoffen, dass du es schätzt, dass es keine Bezahlschranke gibt: Unserer Auffassung nach ist es demokratischer für Medien, für alle zugänglich zu sein und nicht nur für ein paar wenige, die sich dieses "Gut" leisten können. Durch deine Unterstützung bekommen auch jene einen Zugang zu diesen Informationen, die es sich sonst nicht leisten könnten. Wenn jeder, der unsere Rechercheberichte liest und mag, dabei hilft, diese zu finanzieren, wird es mimikama.at auch weiterhin geben.

Folgende Unterstützungsmöglichkeiten bieten wir an: via PayPal, via Patreon, via Steady