ESET meldt dat er ruim 16.000 inloggegevens van Facebook gebruikers zijn gestolen door het trojaanse paard MSIL/Agent.NKY. Met behulp van social engineering is de malware hiertoe in staat geweest. De gestolen persoonlijke Facebook(FB) inloggegevens werden gekoppeld aan de gebruikersstatistieken van Texas HoldEm Poker wanneer het slachtoffer het spel speelde. De detectie statistieken van ESET wijzen erop dat deze threat zich voornamelijk alleen in Israël voor deed. Ook dient er vermeld te worden dat de applicatie waar de malware zijn pijlen op richtte een legitieme door Zynga Inc. gemaakte applicatie is, en volgens AppData een maandelijks gemiddelde van 35 miljoen actieve gebruikers heeft.
Sinds 2012 wordt deze trojan bestudeert door het lab. Mede dankzij de proactieve detectie waren gebruikers van ESET beveiligingsproducten reeds beschermd tegen deze threat sinds december 2011. Zoals de statistieken uitwezen was voornamelijk Israël het doelwit en daarom heeft is begin 2012 contact geweest met de Israëlische CERT(Computer Emergency Response Team) en politie. Gedurende het onderzoek kon er geen publiek statement gemaakt worden en inmiddels is de bedreiging onschadelijk gemaakt.
De aanvaller heeft de malware gebruikt om FB inloggegevens, de score en de hoeveelheid creditcards binnen de facebook settings waarmee de speler zijn/haar krediet binnen het pokerspel konden opgeven, te stelen. Het spel had een functie waarmee het aantal chips kon worden aangevuld met echt geld door gebruik te maken van de creditcard informatie of PayPal gegevens. Om de inloggegevens te verkrijgen werd een leger van 800 computers gebruikt, allemaal geïnfecteerd door de aanvaller. Deze machines voerde commando’s uit vanaf de C&C(Command&Control) server. De maker van deze bedreiging startte de aanval door gebruik te maken van inloggegevens van verschillende FB accounts welke reeds voor hem/haar beschikbaar waren.
“Om je te beschermen tegen Social Engineering aanvallen is het hebben van een goede beveiligingsoplossing niet genoeg. Gebruikers moeten ten alle tijden bewust zijn van de mogelijkheid.” Zegt Nienke Ryan, Managing Director van SpicyLemon. Zij voegt toe “De gebruiker zou de nagemaakte FB login pagina kunnen herkennen als hij of zij de URL van de site controleert.”
De geïnfecteerde computers ontvingen een commando om in te loggen op de FB account van de gebruiker om vervolgens toegang te krijgen tot de Texas HoldEm score en het aantal creditcards gelinkt met FB. In gevallen waar er geen creditcard was toegevoegd, of de gebruiker een lage score had, werd er op het FB profiel een link geplaatst naar een nagemaakte FB login pagina. Deze pagina lokte nog meer gebruikers (De vrienden van het slachtoffer) naar de site welke sterk op de officiële FB pagina leek. Wanneer een gebruiker zijn of haar gegevens ingaf werden deze door de aanvaller opgeslagen. Tijdens de analyse van dit botnet is het aantal gestolen logingegevens op 16.194 geschat. Elke andere FB applicatie kan op deze manier doelwit zijn. Klik hier voor meer informatie op ons blog.
Het aantal bedreigingen wat Facebook gebruikt groeit snel. Om deze trend tegen te gaan is er nu een nieuwe applicatie de ESET Social Media Scanner welke gratis is te gebruiken en in staat is om het profiel van de gebruiker te scannen op kwaadaardige of phishing links. Tevens is de app in staat om kwaadaardige links op de Timeline van vrienden te detecteren.
Over SpicyLemon
SpicyLemon is beveiligingsspecialist van onder andere een nieuwe generatie computerbeveiliging van ESET NOD32 Antivirus, Acronis Backup en Puresight, voor een veilig internet voor kinderen. Een nieuwe generatie, omdat de producten sneller en betrouwbaarder werken dan concurrerende producten en net even anders dan anders functioneren. Bovendien gebruiken de producten hiervoor een minimum aan systeemresources. Daarnaast biedt SpicyLemon seminars, gastlessen en informatie aan om organisaties en gebruikers te ondersteunen bij het inzetten van technologie. Zo kunnen zij een maximaal beveiligde ICT-omgeving realiseren en optimaal gebruik maken van de digitale mogelijkheden.
Bron: SpicyLemon.nl