Специалисты Яндекса поделились подробностями распространения вируса OMG на Facebook'е; представили подробный анализ расширений для Firefox и Chrome; рассказали об опасностях для пользователей, которые таило в себе вредоносное ПО.
В середине декабря 2014 года на Facebook’е было зафиксировано массовое распространение вируса OMG. Программа рассылала пользователям сообщения с предложением просмотреть так называемое Private Video (частное видео). При переходе по ссылке рассылка вируса продолжалась друзьям пользователя. Затем на стене пользователя появлялась аватарка друга, его имя и фамилия, отметка «Private Video» и информация о якобы тысячах просмотров. При переходе по ссылке пользователь перенаправлялся по цепочке серверных редиректов. Конечным пунктом становилась веб-страница на dropboxusercontent.com. Она содержала js-скрипты, главной функцией которых была проверка браузерного объекта “navigator” и выполнение дальнейшего перенаправления. После перехода на ссылку с плеером пользователю предлагалось скачать специальное расширение.
Позднее представители социальной сети сообщили, что распространителем вируса стало расширение YouTurn, разработанное под Сhrome. Источник распространения вредоносных ссылок был заблокирован, а сами ссылки – удалены из Facebook.
Как выяснили представители Яндекса, расширение для Chrome, помимо распространения спам-публикаций и рассылок, таило в себе еще несколько опасностей: 1. предоставляло доступ к аккаунту для стороннего приложения, воспользовавшись которым злоумышленники могли выполнять целый ряд нежелательных или даже опасных для жертвы действий на ее странице; 2. стремительно распространяясь, внедряло рекламные баннеры с сомнительным контентом на всех возможных сайтах.
При этом функциональность расширений могла поменяться в любой момент, поскольку они подгружали свой код с внешнего сервера, который в разные моменты времени, а также в зависимости от каких-либо параметров зараженного пользователя мог отдавать совершенно различный код. К примеру, если изначально подгружаемый с внешнего сервера код, мог быть безобидным, то, спустя некоторое врем, он становился вредоносным.
По замечанию представителей Яндекса, активность программы в российском сегменте Facebook'а в декабре 2014 похожа на пробный запуск или неконтролируемый тест. При этом сама по себе программа не является чем-то принципиально новым. Предполагается, что данное заражение аффилировано с кампаниями по распространению сомнительной рекламы и подмене рекламы в браузерах.
По итогам расследования сотрудники поисковика заблокировали найденные вредоносные ссылки в SBAPI и DNS, а также вредоносные расширения в Яндекс Браузере.
Чтобы уберечь свои устройства и устройства друзей от заражения, пользователям рекомендуется не устанавливать подозрительные расширения, не кликать по сомнительным ссылкам в социальных сетях. Также категорически не рекомендуется устанавливать сомнительные расширения для браузеров.
Вебмастерам имеет смысл использовать на сайтах CSP, по возможности настраивать директивы img-src и object-src. Это позволит ограничить загрузку в браузеры пользователей сомнительных сторонних рекламных баннеров, а также избежать подмены оригинального контента ресурса содержимым, которое распространяет вредоносное ПО.
С полным анализом схемы распространения вредоносной программы можно ознакомиться здесь.