Diese jedoch beinhaltet dann einen Trojaner, der wiederum in der Lage ist auf umfassende Internet-Browser-Daten zuzugreifen. Die Sicherheitsspezialisten von Bitdefender vermuten den Ursprung der Malware in Albanien. Sie wird per Social Engineering „promoted“, augenscheinlich teilt ein Facebook-Freund ein Video. Klickt man auf den Link, wird eine gefälschte YouTube-Seite aufgerufen. Die Schadcode-Schreiber haben die Anzahl der Videoaufrufe manipuliert, um den Anschein von bereits über einer Millionen Klicks zu erwecken. Startet man das Video, kommt eine bekannte Masche zum Einsatz: der Nutzer wird auf ein vermeintliches Flash-Player-Update in Form einer EXE-Datei umgeleitet. Die Malware-Entwickler haben mehr als 20.000 individuelle URLs für die Weiterleitungen angelegt. Web-Filter und Reputationsdienste umgehen die Cyber-Kriminelle mithilfe von 60 bit.ly-API-Schlüsseln, über die sie Kurz-URLs anlegen können. Diese Links werden dann über Facebook verbreitet. Da die API-Schlüssel zufällig ausgewählt werden, kann durch das Anlegen von Blacklists keine Abhilfe geschaffen werden. Bitdefender hat bit.ly bereits über den Missbrauch informiert. Auf dem lokalen Rechner wird unter anderem der Browser mithilfe eines Add-on-Frameworks infiziert. Die Datei wird von Bitdefender als Trojan.Agent.BDYV identifiziert. Sie hinterlegt ein passwortgeschütztes Archiv und eine BAT-Datei auf dem Rechner, die darauf ausgelegt ist, die EXE- Datei im Archiv auszuführen, nachdem das Passwort als Parameter angegeben wurde.
Gefährdet sind Firefox- und Chrome-Nutzer. In beiden Browsern werden durch das Add-on 20 Facebook-Freunde gleichzeitig markiert und Anzeigendienste auf der Seite eingeschleust. Die Erweiterung manipuliert zudem einige Funktionen des sozialen Netzwerks, um zu verhindern, dass Nutzer die schädlichen Einträge aus ihrer Chronik oder ihren Aktivitäten löschen.
Neben der Verbreitung von Malware „unterhält“ das betrügerische Add-on seine Opfer auch mit einer Reihe von URL-Umleitungen auf gefälschte Umfragen oder dem Abschluss von Abonnements für Premium-SMS-Dienste. Versucht der Nutzer, einen Blick auf die installierten Erweiterungen zu werfen (about://extensions), kann es passieren, dass der Schadcode den Add-on-Reiter schließt.
Gefährdet sind Firefox- und Chrome-Nutzer. In beiden Browsern werden durch das Add-on 20 Facebook-Freunde gleichzeitig markiert und Anzeigendienste auf der Seite eingeschleust. Die Erweiterung manipuliert zudem einige Funktionen des sozialen Netzwerks, um zu verhindern, dass Nutzer die schädlichen Einträge aus ihrer Chronik oder ihren Aktivitäten löschen.
Neben der Verbreitung von Malware „unterhält“ das betrügerische Add-on seine Opfer auch mit einer Reihe von URL-Umleitungen auf gefälschte Umfragen oder dem Abschluss von Abonnements für Premium-SMS-Dienste. Versucht der Nutzer, einen Blick auf die installierten Erweiterungen zu werfen (about://extensions), kann es passieren, dass der Schadcode den Add-on-Reiter schließt.
