最近很夯的Facebook惡意連結 -- "幹!太失望了,你看看", 其實我們更失望,因為藉由Facebook散佈病毒也不是什麼新鮮事了,我們也一再的提醒,但災情還是不斷發生。

 

 

 

這次會引起廣大的"回響"最主要的原因在於攻擊者使用了大家熟悉的語言,如果換成其他外文很容易引起被害者的警覺,而這也是社交工程中的一環,使用口語化的用字配合吸引人的主題引人上當,例如去年李宗瑞案爆發時,Facebook上也曾出現引此為題的釣魚訊息。

其實這類的facebook連結履見不鮮,AegisLab也時常撰文提醒讀者,像是先前的: 

安全通報2013-02-05: 點閱Facebook粉絲團的連結前請三思

         安全通報2013-02-20: 有毒勿點...又是Facebook  

         安全通報2013-02-20: 有毒勿點...又是Facebook (續)  

 

 

簡單回顧一下之前常見的手法:

◆惡意的粉絲團連結:

      執行惡意連結的檔案後會先去讀取你的朋友名單並加入的粉絲團,接下來針對這些對象去留言或散播連結等惡意行為!接下來你就會發現Chrome瀏覽器多了一個extension。 

  

 

 

           若是發現自己的Chrome有此extension請將其停用移除。而最好的保護方法就是在點閱任何連結前,善用"瀏覽器下方的狀態列",如果連結的原意是指向一個網頁,但此時卻是指向一個檔案,那通常就有問題囉.所以在點閱任何連結前,不要只想著有什麼精彩好看的,一定要先檢查!

 

◆tag好友並張貼惡意連結

     與惡意粉絲團連結所使用的方法最大的差別在於"無法在extension"中察覺。   此法會將chrome://extensions自動導到Chrome web store,如此使用者便無法看到裝了哪些extension,   也不能直接去對extension做disable的動作!!

          要移除這個extension並不難,首先打開Chrome的"工作管理員"接著把

Flash Player V15.0結束掉,但此病毒版本不只一個在無法確定名稱時建議先把全部的extension結束掉,如此一來就能正常進入擴充功能管理的介面接下來只要把Flash Player V15.0刪除即可。

 

言歸正傳,這次的病毒跟之前不一樣的是,它並不會安裝惡意的Chrome extension,而是透過記錄有FB帳密的cookie來進行留言攻擊。

當您收到任何有超連結(linkee.com真是躺著也中槍)的留言不要隨意點選並向留言者確認。萬一您已經中毒的話,解決方法為刪除cookie重新登入Facebook更換密碼刪除FB上的病毒留言

提醒WebGuard 用戶隨時保持最新特徵碼,以保障您的網頁瀏覽安全.

義集思實驗室會持續觀察最新發展並針對Chrome security 進行探討。 敬請期待~

 

by AegisLab