Neue Betrugsmasche nutzt lustiges Facebook-Video und falsche Kurz-URLs

MarketingSicherheitSoziale NetzwerkeWorkspaceZubehör
Der Name des Facebook-Freundes - hier Razvy Razvan - taucht sowohl auf der gefälschten Youtube-Seite als auch deren URL auf (Screenshot: Bitdefender).

Ein “lustiges” Video, das aktuell auf Facebook geteilt wird, dient der Verbreitung eines neuen Trojaners. Die Angreifer machen sich die Abstumpfung der Nutzer in Bezug auf Updates der Adobe-Produkte zunutze und operieren mit API-Schlüsseln des Kurz-URL-Dienstes Bit.ly. Die Malware kann auf umfassende Daten des Browsers zugreifen.

Bitdefender hat vor einer Malware-Welle gewarnt, die sich aktuell via Facebook verbreit. Angegriffene Nutzer gehen laut dem Sicherheitsanbieter zunächst davon aus, ein lustiges Video eines Facebook-Freundes vorgeschlagen zu bekommen. Klicken sie darauf, werden sie jedoch auf eine gefälschte Youtube-Seite umgeleitet. Dort wiederum erfahren sie, dass ein Update des Adobe Flash Players beziehungswiese die Installation eines Add-ons erforderlich sei. Praktischerweise findet sich auch gleich die Links dazu – die jedoch zum Download einer Malware führen.

Ein leider vielen Nutzern nur allzu vertrautes Bild - das aber hier eine Fälschung ist und zum Download einer Malware verleiten soll (Screenshot: Bitdefender).
Ein leider vielen Nutzern nur allzu vertrautes Bild – das aber hier eine Fälschung ist und zum Download einer Malware verleiten soll (Screenshot: Bitdefender).

Die vermutlich aus Albanien stammenden Malware-Schreiber haben sich laut Bitdefender ein Add-on-Framework zu Nutze gemacht, mit dem ihr Code auf einer Reihe von Browsern funktioniert. Firefox-Nutzer werden zur Installation eines Add-ons aufgefordert. Bei Google Chrome leitet die als Youtube-Video ausgegeben Seite Nutzer auf eine vermeintliche Flash-Player-Installation weiter. Die dort angebotene Datei wird von Bitdefender in Deutschland als Trojan.Agent.BDYV identifiziert. Sie hinterlegt ein passwortgeschütztes Archiv und eine .bat-Datei auf dem Rechner, die darauf ausgelegt ist, die exe.-Datei im Archiv auszuführen, nachdem das Passwort als Parameter angegeben wurde.

Hat sich die Malware einmal eingenistet, werden sowohl in Chrome as auch in Firefox jeweils 20 Facebook-Freunde gleichzeitig markiert und Anzeigendienste auf der Seite eingeschleust. Um zu verhindern, dass Nutzer die schädlichen Einträge aus ihrer Chronik oder dem Aktivitätenprotokoll löschen, werden zudem einige Funktionen des sozialen Netzwerks manipuliert. Versucht der Nutzer, einen Blick auf die installierten Erweiterungen zu werfen (about://extensions), kann es passieren, dass der Schadcode seine Add-on-Reiter schließt.

Das betrügerische Add-on beschäftigt Besitzer infizierter Rechner zudem mit einer Reihe von URL-Umleitungen auf gefälschte Umfragen oder Seiten, die sie zum Abschluss von Abonnements für Premium-SMS-Dienste verleiten sollen. Laut Bitdefender haben die Betrüger dazu über 20.000 unterschiedliche URLs angelegt, die ihre Opfer auf schädliche Websites umleiten.

Der Name des Facebook-Freundes - hier Razvy Ravzan - taucht sowohl auf der gefälschten Youtube-Seite als auch deren URL auf (Screenshot: Bitdefender).
Der Name des Facebook-Freundes – hier Razvy Ravzan – taucht sowohl auf der gefälschten Youtube-Seite als auch deren URL auf (Screenshot: Bitdefender).

Nutzer werden durch einige Tricks in Sicherheit gewiegt beziehungsweise zum Ausführen der für die Installation der Malware erforderlichen Schritte gelockt. So beginnt in den angeblichen Youtube-Videos eine Frau, sich vor einer Webcam zu entkleiden, allerdings bricht die Wiedergabe nach einigen Sekunden ab. Wie früher schon wurde zudem auf der gefälschten Youtube-Seite eine sehr hohe Zahl an Aufrufen für das Video angegeben.

Nicht so oft gesehen hat man jedoch, dass nach dem Diebstahl der Facebook-Daten die Profilnamen der Opfer den gefälschten Youtube-URL-Parametern hinzugefügt werden, so dass Nutzer eine URL mit dem Namen einer ihnen tatsächlich bekannten Person sehen.

Den Hackern ist es laut Bitdefender nämlich gelungen, auf über 60 API-Schlüssel des Kurz-URL-Dienstes bit.ly, zuzugreifen, mit deren Hilfe sie Kurz-URLs anlegen können. Diese eindeutigen Links werden dann über Facebook verbreitet. Da die API-Schlüssel zufällig ausgewählt werden, reichen Blacklist nicht aus, um Nutzer zu schützen. Bitdefender hat bit.ly bereits über die falschen Kurz-URLs und den Missbrauch informiert.

Tipp: Wie gut kennen Sie Soziale Netzwerke? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen