Egyedi megoldású, a Facebookon terjedő kártevőt azonosítottak a Kaspersky Lab szakértői, amely böngésző-kiegészítőként készült és ami különféle nagy portálok reklámmoduljainak segítségével keres pénzt készítőjének.
A féregprogram ráadásul már a feketekereskedelemben is felbukkant: 1000 dollárért bárki megvásárolhatja.
A Kaspersky szakemberei éppen egy botnetet vizsgáltak, amikor egy újfajta telepítőrutin letöltésére lettek figyelmesek, ami a stats.crossrider.com oldalról töltött le egy alkalmazást, amit aztán a FACEBOOK LILY SYSTEM név alatt telepített a számítógépre. A CrossRider egy olyan rendszer, amivel egyszerre több böngésző alá lehet plugineket készíteni – a jelenleg béta formában létező platform egyelőre az Explorerrel , a Firefoxszal és a Chrome-mal kompatibilis.
A kiegészítő legegyszerűbb változata a Chrome alatt található, hiszen mindössze két sorból áll – az első sor betölti az iQuery funkciókat, míg a második a tulajdonképpeni kártevőt tölti le. Ennek feladata a Yahoo, YouTube, Bing, AOL, Google és Facebook által használt, reklámokért felelős modulok átverése, illetve a féreg terjesztése a Facebook segítségével.
Ez utóbbi különféle spamüzenetekkel történik, amelyekben Justin Bieber autóbalesetéről olvashatunk, az ehhez kapcsolódó videó letöltésére mutató link azonban már egy fertőzött oldalra mutat, ahol rejtett iFrame-ek segítségével a felhasználót a NuclearPack nevű csomaghoz irányítják, amiben megtalálható a fenti plugin és az előbb említett féregprogram is.
Jópofa csavar a történetben, hogy a botnet irányítószerverének vizsgálata során előkerült egy illető is, aki online árulta a féregprogramot. A készítője által LilyJade-nek nevezett kártevő kerek 1000 dollárba kerül, a forráskódért pedig további 500 dollárt kell fizetni.
Forrás: SecureList