如果你在Facebook Messenger上遇到有人给你发送视频链接的消息,请千万要谨慎打开,即使对方是你的朋友。
近日,卡巴斯基实验室的安全研究人员发现有恶意病毒正通过Facebook Messenger进行跨平台(Windows,MacOS ,Linux)攻击活动,用户如果对收到视频链接进行点击,就会被重定向到一个假网站,然后攻击者趁机引导受害者安装恶意软件。
尽管目前还不清楚恶意软件是如何传播的,但研究人员推测垃圾邮件发送者通过在受到攻击的帐户,劫持浏览器或使用点击劫持技术来传播恶意链接。
攻击者利用社会工程来诱骗用户点击视频链接,这些视频链接会将发送者显示为Facebook朋友,并将发送标题标记为 “<你的朋友姓名>视频”的消息,后跟一个链接,如上图所示。
以下是这种跨平台恶意软件的工作原理:
该网址将受害人重定向到Google文档,该文档显示动态生成的视频缩略图,如可播放的电影,基于发件人的图像,如果点击,则根据用户的浏览器和操作系统进一步将用户重定向到另一个自定义着陆页面。
例如,Windows上的Mozilla Firefox用户将重定向到显示虚假Flash Player Update通知的网站,然后提供Windows可执行文件,该可执行文件被标记为广告软件。
Google Chrome用户被重定向到一个伪装成YouTube的网站,其类似的YouTube标志显示了一个假错误消息弹出窗口,诱骗的受害者会从Google网上应用店下载恶意的Chrome扩展程序。
该扩展实际上是一个下载工具,负责把攻击者的选择文件下载到受害者的计算机。
不过目前下载的文件已不可用,一个有趣的发现是,Chrome扩展程序的开发人员显示了用户名的日志文件,目前还不清楚这是否与广告相关,但它仍然是一个有趣的信息。
Mac OS X Safari的用户在使用Firefox时也会遇到类似的网页,但是它是针对MacOS用户进行定制的,其中包含Flash Media Player的假更新,如果点击,则会下载一个OSX可执行文件.dmg文件广告软件。
在Linux的环境下,用户重定向到为Linux用户设计的另一个网页。
在整个传播活动中,攻击者实际上并没有使用任何银行木马或漏洞套件来感染用户,而是利用广告软件通过从广告中获得收入来赚取大量资金,这也就意味着受害者的信息暂时安全的。
Facebook上的垃圾邮件活动相当普遍,几年前,研究人员发现网络犯罪分子使用boobytrapped.JPG图像文件来隐藏其恶意软件,以便利用Locky 勒索软件的变体来感染Facebook用户,该软件会加密受感染PC上的所有文件,勒索赎金。
为了保持安全,建议你不要好奇地打开任何人甚至你的朋友发送的图像或视频链接,如果忍不住要看,请打开之前与对方确认一下。除此之外,请讲杀毒软件更新到最新状态。