וירוס שמתחזה לתוסף כרום מאיים על גולשים בפייסבוק עם מערכת הפעלה Windows
ההדבקה מתחילה בהודעה לכאורה מרשת פייסבוק שאומרת כי "חבר הזכיר אותך בתגובה" אם הפנייה להורדת קובץ זדוני. משם מתחיל הליך שמאפשר בסופו של דבר לתוקף להדביק את הדפדפן במחשב היעד
וירוס חדש שמופץ דרך באמצעות תיוגים ברשת החברתית פייסבוק מאיים על משתמשי מערכת ההפעלה Windows. הפוגען משמש, בין היתר, לאיסוף פרטים אישיים על בעל המחשב, כולל פרטי אשראי וסיסמאות. יחד עם זאת, אין עדות שהוא משמש או מפיץ תוכנת כופר.
"במהלך חודש יוני 2016 ,נראו יותר ויותר ישראלים נדבקים בקוד זדוני המכונה על ידינו 'מארס'. קוד זה מוריד מספר קבצים זדוניים ועורך קבצים מקומיים על מנת לגנוב פרטים אישיים מקורבנותיו, פרטי אשראי וסיסמאות", אומר אסף חלץ, מנהל תחום אבטחת מידע אפליקטיבית בחברת אינוסק.
"בעת לחיצה על התראה בFacebook ,הקורבן יעבור מספר הפניות ולבסוף יוריד קובץ JSE זדוני, המוריד דפדפן ייעודי וזדוני ומפעיל קבצי au3, קבצי סקריפט של תוכנת ה AutoIt, אשר עורכים את הגדרות המחשב כך שכלל קיצורי הדרך לדפדפנים במחשב יובילו אל אותו דפדפן פגיע.
"ההמלצות לארגונים הן להימנע מפתיחת קיצורי דרך של דפדפנים, להסיר את כלל הדפדפנים מהמחשב המותקף ולהתקינם מחדש ממקור בטוח, לבצע חסימה של האתר התוקף net.userexperiencestatics, לבחון חסימה של קבצי JSE ברמת ארגון".
הערכה: קמפיין בליץ
"מדובר בסקריפט בשם MARS שמופץ במטרה לבצע נזקים ולהחליף את הדפדפן הפעיל בשולחן העבודה בדפדפן חדש הכולל בתוכו רכיבים עוינים", אומר ארז שטנג, ארכיטקט אבטחת מידע וסייבר בחטיבת הסייבר של SECOZ שנרכשה ע"י BDO-זיו האפט ישראל.
"בתוך הדפדפן החדש שמוחלף, מוחלפים גם קיצורי הדרך הקבועים ונטענים עם פתיחת הדפדפן מודולים חדשים שמשבשים את תהליך העבודה ומפעילים סוסים טרויאנים להוצאת מידע החוצה. על פניו, מתחקיר ראשוני של הסקריפט, אין מדובר באיומי הכופרה המוכרים לנו אלא בניסיונות לקבל שליטה על דפדפנים ודרכם להפנות חלק מהתעבורה לצרכי גניבת מידע.
"לכאורה, בשלב זה, נראה כי מדובר בטכניקה פשוטה לקבל זהות ואישור כדי להמשיך מתקפות נוספות.
הטכניקה הפשוטה מהווה אתגר למנהלי אבטחת מידע ומערכות מידע מאחר ונעשה כאן שימוש בכלי IT פשוטים ונפוצים שמשמשים ארגונים ולכן קשה לחסום אותם.
"מאחר ולא מדובר בוירוס ואין פה תהליך של הדבקה,הורדה של הקובץ ללא הפעלתו לא מפעילה את תהליך הפגיעה. גלישה לאחד מאתרי האנטיוירוס היא דרך קלה יחסית לאתר אם המחשב נפגע או לא, וכרגע הדרך המוכרת לנטרל את הפגיעה היא באמצעות מחיקת קבצים וניקוי רשימת הדפדפנים החסומים. אפשרות נוספת היא הסרה והתקנה מחדש של דפדפן הכרום.
"משתמש שחושד כי נדבק, עליו להניח כי כל הסיסמאות ושמות המשתמש שלו ששמורים בדפדפן נחשפו, ולכן רצוי שיעדכן סיסמאות בכל האתרים כדי למנוע שימוש עתידי בהם."
שטנג מעריך כי מדובר בקמפיין בליץ של האקרים שמבינים שינוטרו מהר כך שההפצה מהירה מאוד ובתוך 24 שעות הסקריפט יחסם. יחד עם זאת, אכן בוצע פה proof of concept ולפיו, צפויים שימושים עתידיים באיום מסוג זה.
פוגע רק במערכות Windows
דו"ח של חברת White-Hat קובע כי המתקפה מורכבת משלושה שלבים לפחות, השלב הראשון הוא הפצת קובץ הג'אווה על ידי אפליקציית פייסבוק שהותקנה במרמה, השלב הבא הוא הפעלת הקובץ ופתיחת הדלת האחורית והשלב השלישי הוא כבר השתלטות על קבצי המחשב באמצעות נוזקת כופר.
"ברגע בו הורדת הקובץ הסתיימה, הקובץ הזדוני יכול להוריד קבצים נוספים זדוניים כגון סוס טרויאני או תוכנת כופר מה שאומר שהוא שולח פרטים למפעיליו ומסוגל גם לנעול את הגישה לקבצים על המכשיר ולדרוש תשלום תמורת שחזור אותם קבצים, לגנוב מידע אודות המשתמש ועוד", נכתב בדו"ח.
"אם המשתמש לוחץ על הקובץ, מתבצעת פנייה לאתרים הבאים לצורך הורדת קבצים זדוניים נוספים: קבצים אלו נראים אמנם כקבצים עם סיומות jpg אך ברגע ההורדה משתנה הסיומת שלהם, לסיומת הזדונית מסוג jse שכתובים בשפת JavaScript.
למרות שסיומת הקבצים היא jpg ,הם מכילים קוד זדוני. הקוד רץ באמצעות שפת סקריפטים המיועדת ל-Windows בלבד.
לא תוכנת כופר
"הוירוס הינו קובץ ג'אווהסקריפט אשר מוצמד לפייסבוק באמצעות קישור לגוגל דוקס", אומר עידו נאור, חוקר בכיר במעבדת קספרסקי. "נתחיל מהסוף ונגיד קודם כל שאין מדובר כאן בתוכנת כופר. מדובר בתוכנה אשר משתמש לגניבת מידע רגיש מהמשתמש באמצעות ניצול הגדרות הדפדפנים.
"התוכנה מתקינה את עצמה לנתיב בשם במערכת ההפעלה חלונות ואף משתמשת בפונצקיות הנתמכות אך ורק על ידי אותה מערכת הפעלה ולכן הוירוס לא ישפיע על טלפונים או מערכות הפעלה אחרות כגון לינוקס ומק.
"בנוסף, הוירוס מתקין את עצמו על המחשב בצורה בה מחיקה של הוירוס לא תעזור. מומלץ לקחת את המחשב למעבדה ולהתקין תוכנת אנטי וירוס. חשוב לציין שאין דרך להידבק מלבד תיוג בפייסבוק ולכן אם לא נתקלתם בתמונה למעלה, אין סיבה שנדבקתם."
דיון נוסף אפשר למצוא באתר security.stackexchange.com וגם באתר reddit.com.
לכתבות נוספות באתר ISRAEL DEFENSE היכנסו לעמוד הפייסבוק החדש של nrg
אקו"ם