Ostatnio eksperci z firmy Trend Micro natknęli się na Facebooku na oszustów wykorzystujących zainteresowanie internautów tym świętem. Atak rozpoczyna się od umieszczenia na ścianie użytkownika komunikatu zachęcającego inne osoby do zastosowaniu walentynkowego motywu na ich profilach. Po kliknięciu komunikatu użytkownicy zostają przekierowani na kolejną stronę namawiającą ich do instalacji wspomnianego motywu. Należy zauważyć, że ten rodzaj ataku pojawia się tylko na przeglądarkach Google Chrome i Mozilla Firefox.

Kliknięcie przycisku Instaluj na tej stronie rozpocznie ściąganie szkodliwego pliku, FacebookChrome.crx identyfikowanego przez Trend Micro jako TROJ FOOKBACE.A. Po uruchomieniu, TROJ_FOOKBACE.A uruchamia skrypt, który wyświetla reklamy z określonych stron. Program instaluje się również na używanej przeglądarce jako rozszerzenie o nazwie Facebook Improvement |Facebook.com.

Po zainstalowaniu w przeglądarce złośliwe rozszerzenie rozpocznie śledzenie aktywności użytkowników w sieci i przekieruje ich na stronę z zapytaniem, która poprosi ich o numer telefonu komórkowego. Użytkownicy przeglądarki Internet Explorer (IE) zostaną przekierowani na stronę z zapytaniem zaraz po kliknięciu komunikatu na ścianie, bez proszenia o ściąganie jakiegokolwiek pliku.

Po głębszej analizie eksperci ds. zagrożeń z firmy Trend Micro doszli do wniosku, że atak jest znacznie skuteczniejszy w przypadku użytkowników przeglądarek Google Chrome lub Mozilla Firefox. Przypomina instalację zwykłego rozszerzenia, wymagając tym samym mniejszego stopnia interakcji niż w przypadku Internet Explorera (kiedy użytkownik zostaje przekierowany na stronę z zapytaniem).

Skuteczność ataku opiera się na udawaniu zwyczajnej wtyczki dla Chrome, można więc założyć, że to użytkownicy tej przeglądarki są główną grupą docelową oszustwa, a przekierowanie na IE jest raczej późniejszym dodatkiem. Natomiast pomimo obecności funkcji śledzenia aktywności w sieci, TROJ_FOOKBACE.A wydaje się nie być wyposażony w żadne narzędzia do kradzieży danych.

Wpasowuje się raczej w kategorię ataku typu „clickjacking”, doprowadzając do automatycznego „polubienia” kilku stron na Facebooku oraz automatycznego umieszczenia komunikatu na ścianie użytkownika.