Специалисты Cyren обнаружили новую спам-кампанию, в ходе которой злоумышленники распространяют PDF-файлы, якобы содержащие откровенные фотографии голливудских звезд. На самом деле ссылки в файлах отправляют пользователей на страницу, содержащую вредоносное расширение Chrome, или на сайты с агрессивной рекламой.
По данным команды Cyren, спам-сообщения распространяются посредством частных сообщений и сообщений в различных группах Facebook. PDF-файл содержит ссылку, переход по которой открывает интернет-страницу, фильтрующую жертв в зависимости от используемого браузера. Если на компьютере установлены интернет-обозреватели Internet Explorer, Firefox или Safari, пользователь перенаправляется на страницу с агрессивной рекламой. Владельцы мобильных телефонов перенаправляются на ту же страницу вне зависимости от используемого браузера.
В свою очередь, пользователи десктопной версии Google Chrome попадают на фальшивую страницу YouTube, требующую установить специальное расширение Chrome для просмотра видео. По словам экспертов, злоумышленникам удалось разместить вредоносное расширение в Chrome Web Store. На момент написания новости расширение уже было удалено из каталога.
Основная задача данного расширения заключается в том, чтобы вынудить пользователя повторно авторизоваться в Facebook. Таким образом злоумышленники собирают учетные данные жертвы и используют ее учетную запись для дальнейшего распространения вредоносного спама.
Как показал анализ исходного кода, расширение может в режиме реального времени перехватывать web-трафик для определения, к каким ресурсам может получить доступ браузер жертвы. Кроме того, расширение содержит список связанных с обеспечением безопасности доменов и предотвращает их загрузку. В число функциональных возможностей расширения также входит загрузка и запуск дополнительных вредоносных скриптов.
Источник http://internetua.com/