Ein Erbe von Koobface: Malware macht mit Fotoalben jagd auf Facebook-Nutzer


Koobface
ist eine dieser scheinbar nicht zu bändigen Malware-Familien. Die Schadsoftware
und ihre verschiedenen Abwandlungen nutzen Facebook, um weitere Nutzer zu
infizieren. Das funktioniert meist, indem ein kompromittiertes Profil genutzt
wird, um Links zu verbreiten. Die Verknüpfung führt dann zu einer Webseite, auf
der meist ein besonders lustiges, schockierendes oder erotisches Video
hinterlegt sein soll. Um dieses ansehen zu können, benötigt der Nutzer aber
einen speziellen Codec – der dort auch gleich zum Download angeboten wird. Man
kann es fast erraten: Statt eines Video-Codecs steckt im Download die Malware.

 

Ein Forscher der Sicherheitsfirma Sophos warnt
nun im Blog der Firma vor einem Facebook-Malware
, die scheinbar in die
Fußstapfen von Koobface treten will: Der Schädling lockt allerdings nicht mit
einem Video. Scheinbar sollen Nutzer dazu gebracht werden, auf ein verlinktes Fotoalbum
zu klicken – sie erhalten allerdings die Fehlermeldung, dass das Album
verschoben worden sei, ein Klick auf den angebotenen Button würde den Nutzer
aber dorthin leiten. Klickt der Nutzer auf den Button, startet im Hintergrund
ebenfalls wieder der Download einer bösartigen Datei.

 

Neu an dieser Attacke ist, dass der Nutzer Facebook selbst
nicht zu verlassen scheint. Das verlinkte Fotoalbum ist demnach unter
„app.Facebook.com/Link“ abgelegt. Normalerweise würde Facebook beim Start so
eines Links beim Nutzer nach den entsprechenden Berechtigungen anfragen –
dieses Feature wird allerdings offenbar umgangen. Stattdessen lädt der Browser
sofort eine ausführbare Datei namens „FacebookPhotosXXXXX.exe“ herunter. Währenddessen
zeigt der Browser eine Fehlermeldung an, dass das Album verschoben sei.

 

Facebook hat die bösartige Applikation mittlerweile
gelöscht, allerdings mutmaßt der Sophos-Forscher, dass noch zahlreiche weitere
entsprechende Anwendungen innerhalb Facebooks ihr Unwesen treiben.

 

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht
Michael alles Wissenswerte rund um Schwachstellen in
Microsoft-Produkten und die veröffentlichten Softwareupdates.

 

Comments (0)