![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/92\/2017\/09\/04071904\/facebook-messenger-malware-featured.jpg\")
<\/a><\/p>\nZun\u00e4chst wurde ein vorl\u00e4ufiger Bericht ver\u00f6ffentlicht<\/a>. Zu diesem Zeitpunkt hatte Jacoby allerdings noch nicht genug Zeit, um genauere Details \u00fcber die Funktionsweise der Malware zu erforschen. Die Zeit hat er nun aber gefunden und wir sind bereit, die Ergebnisse mit Ihnen zu teilen<\/a>. Betrachten wir die Attacke aus der Sicht eines Users, lief die Infizierung folgenderma\u00dfen ab.<\/p>\n Jacoby und Frans Rosen, ein Forscher mit dem Jacoby bereits an einem Projekt namens \u201eHunting bugs for humanity<\/a>\u201c gearbeitet hatte, haben die heimt\u00fcckische Kampagne analysiert und herausgefunden, wie sie funktioniert.<\/p>\n Die Seite, zu der die User weitergeleitet wurden, nachdem sie dem Link auf Facebook Messenger gefolgt sind, war in Wirklichkeit eine PDF-Datei, die auf Google Drive ver\u00f6ffentlicht worden war und als Vorschau ge\u00f6ffnet wurde. Die Datei verf\u00fcgte zudem \u00fcber ein Profilfoto des Facebook-Nutzers, dessen Identit\u00e4t genutzt wurde, um die Malware zu verbreiten, ein Symbol, um das Video \u00fcber dem Bild abzuspielen und den Link, den der Betroffene \u00f6ffnete, um sein Gl\u00fcck mit dem Wiedergabebutton zu versuchen.<\/p>\n Der Link f\u00fchrte die Freunde der Betroffenen zu dieser Seite.<\/p>\n<\/div>\n Der Link l\u00f6ste verschiedene Umleitungen aus, durch die der User auf einer der zahlreichen Webseiten landete. Opfer, die andere Browser als Google Chrome nutzten, endeten auf einer Webseite, auf der Ihnen ein Download von Adware, verkleidet als Update f\u00fcr Adobe Flash Player, angeboten wurde.<\/p>\n Abgesehen von Google Chrome boten alle anderen Browser den als Adobe Flash Player getarnten Download von Adware an.<\/p>\n<\/div>\n Im Falle von Chrome war die Umleitungsseite nur der Anfang: Wenn der Betroffene der Installation der Erweiterung zustimmte, begann diese aufzuzeichnen, welche Webseiten der Nutzer \u00f6ffnete. Sobald dieser sich dann zu Facebook begab, klaute die Erweiterung sowohl die Log-in-Daten als auch den Zugriffsschl\u00fcssel <\/a>und sendete diese an den Server des \u00dcbelt\u00e4ters.<\/p>\n Eine Fake-YouTube-Seite, die die Installation von Chrome-Erweiterungen anbietet.<\/p>\n<\/div>\n Die Kriminellen hatten einen interessanten Bug auf Facebook entdeckt. Wie sich herausstellte, wurde Facebook Query Language (FQL), das vor einem Jahr deaktiviert <\/a>wurde, nicht komplett \u201eabgeschaltet\u201c; zwar wurde es f\u00fcr Anwendungen blockiert, allerdings mit einigen Ausnahmen. Facebook Pages Manager zum Beispiel, eine macOS-Anwendung, nutzt noch immer FQL. Um also Zugang zu diesem Feature zu bekommen, muss die Malware lediglich im Namen der Anwendung handeln.<\/p>\n Durch den Gebrauch der gestohlenen Anmeldeinformationen und den Zugriff auf das veraltete Facebook-Feature konnten sich die Kriminellen die Kontaktliste des Opfers \u00fcber das soziale Netzwerk zukommen lassen. Daraufhin wurden diejenigen ausgeschlossen, die zu dieser Zeit nicht online waren und unter den Verbliebenden per Zufall 50 neue Opfer ausgew\u00e4hlt. Nutzer bekamen dann eine Nachricht mit einem neuen Link zu Google Drive mit der Vorschau einer PDF-Datei mit dem Bild der Person, in deren Namen die neue Nachrichtenwelle ins Rollen kam. Ein richtiger Teufelskreis also.<\/p>\n Es ist lohnenswert zu erw\u00e4hnen, dass eine spezifische Facebook-Seite von dem b\u00f6sartigen Skript \u201egeliked\u201c wurde, um die Statistiken der Infizierung aufzuzeichnen. Im Verlauf der Attacke haben Jacoby und Rosen beobachtet, dass einige dieser spezifischen Seiten von den Kriminellen ge\u00e4ndert wurden; vermutlich, nachdem Facebook die vorherigen geschlossen hatte. Der Anzahl der Likes nach zu urteilen, handelte es sich um Tausende von Opfern.<\/p>\n Eine der Seiten, die infizierte Nutzer \u201egeliked\u201c haben.<\/p>\n<\/div>\n Die Analyse des Codes offenbarte, dass die Kriminellen anf\u00e4nglich geplant hatten, lokalisierte Nachrichten zu nutzen, dann aber ihre Meinung ge\u00e4ndert hatten und auf das einfache \u201eVideo\u201c zur\u00fcckgriffen. Der Funktionscode der Lokalisierung<\/a> zeigte, dass die Kriminellen haupts\u00e4chlich an Facebook-Nutzern aus verschiedenen europ\u00e4ischen L\u00e4ndern wie der T\u00fcrkei, Italien, Deutschland, Portugal, Frankreich (auch aus dem franz\u00f6sischsprachigen Kanada), Polen, Griechenland, Schweden und allen L\u00e4ndern englischsprachiger User interessiert waren.<\/p>\n Malware per Massennachricht \u00fcber #Facebook-Messenger\u00a0\u2013 wie das Ganze funktioniert hat<\/p>Tweet<\/a><\/blockquote>\n Die gemeinsame Bem\u00fchung verschiedener Unternehmen hat der Verbreitung der Infizierung vorerst ein Ende gesetzt. Trotzdem zeigt diese Geschichte wieder einmal, dass Browsererweiterungen nicht so harmlos sind, wie sie aussehen. Um gesch\u00fctzt zu bleiben und kein Opfer \u00e4hnlicher Aktionen zu werden, sollten Sie vermeiden Browsererweiterungen zu installieren, ohne die absolute Sicherheit zu haben, dass Ihnen weder Daten gestohlen werden noch dass Ihre Onlineaktivit\u00e4t zur\u00fcckverfolgt wird.<\/p>\n\n
<\/a><\/p>\n\n
\n
\n
\n
<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n