Компания «Доктор Веб» — российский производитель антивирусных средств защиты — обнаружила неизвестный ранее функционал в новой вредоносной программе для Facebook. Trojan.Facebook.311 может не только публиковать от имени пользователя новые статусы, вступать в группы, оставлять комментарии, но и рассылать спам в социальных сетях Twitter и Google Plus.
По информации «Доктор Веб», троянская программа Trojan.Facebook.311 представляет собой написанные на языке JavaScript надстройки для популярных браузеров Google Chrome и Mozilla Firefox. Злоумышленники распространяют трояна с использованием методов социальной инженерии — вредоносные программы попадают в систему при помощи специального приложения-установщика, маскирующегося под «обновление безопасности для просмотра видео». Примечательно, что установщик имеет цифровую подпись компании Updates LTD, принадлежащей Comodo. Надстройки называются Chrome Service Pack и Mozilla Service Pack соответственно. С целью распространения трояна злоумышленники создали специальную страницу на португальском языке, ориентированную, по всей видимости, на бразильских пользователей Facebook.
После завершения установки в момент запуска браузера Trojan.Facebook.311 пытается загрузить с сервера злоумышленников файл с набором команд. Затем встроенные в браузеры вредоносные плагины ожидают момента, когда жертва выполнит авторизацию в социальной сети Facebook. После этого троян может выполнять от имени пользователя различные действия, обусловленные содержащимися в конфигурационном файле командами злоумышленников: поставить «лайк», опубликовать статус, разместить на стене пользователя сообщение, вступить в группу, прокомментировать сообщение, пригласить пользователей из списка контактов жертвы в группу или отправить им сообщение. Помимо этого, троян может по команде злоумышленников периодически загружать и устанавливать новые версии плагинов, а также взаимодействовать с социальными сетями Twitter и Google Plus, в частности, рассылать спам.
В последнее время Trojan.Facebook.311 был замечен за распространением в сети Facebook сообщений, содержащих изображение, которое имитирует встроенный в браузер медиаплеер. При щелчке мышью по нему пользователь перенаправляется на различные мошеннические ресурсы. Аналогичным образом с помощью личных сообщений и статусов троян рекламирует мошеннические викторины, в которых якобы можно выиграть различные ценные призы.
Сигнатура данной угрозы добавлена в вирусные базы и не представляет опасности для пользователей антивирусных программных продуктов Dr.Web.