RSS
 

Facebook Messenger: Malware via SVG

22 Nov

Vorsicht bei Dateianhängen in Facebooks Chat: Gekaperte Accounts versenden Schadsoftware – neuerdings in Form einer SVG-Grafik.

Angreifer versuchen derzeit erneut, via Facebook Malware zu verbreiten. Über gekaperte Rechner oder Facebook-Accounts schicken sie Freunden des Opfers per Messenger kommentarlos Dateien, die den Empfänger zu einer verseuchten Webseite lotsen sollen. Neu ist dabei, dass es sich nicht etwa um ein Zip-Archiv handelt, sondern um eine SVG-Grafik – ein von Facebook bislang als harmlos erachtetes Dateiformat, welches die Sicherheitsfilter passieren lassen.

Die Grafik enthält jedoch ein JavaScript, das sich alle Mühe gibt, sein Vorhaben zu verschleiern. Über komplexe String-Operationen in zwei Durchläufen setzt es letztlich `top.location.href`, also die Adresse des aktuellen Reiters, und leitet somit den Nutzer weiter. Ein uns vorliegendes Skript steuerte http://mourid.com/php/trust.php an, von wo es in mehreren Stationen weiterging.

Die eigentlichen Zielserver unter kerman.pw waren bereits nicht mehr erreichbar. Nach Informationen des Sicherheitsforschers Bart Blaze sollte der Browser dort einen YouTube-Klon vorfinden. Dort forderte ein Pop-up zur Installation eines zusätzlichen Codecs auf – bei dem es sich in Wahrheit um Malware in Form einer Chrome-Erweiterung handelt, den Downloader Nemucod. Dieser installiert dann weitere Schadware wie die berüchtigte Ransom-Ware Locky. (jk)

 

Comments are closed.