رسائل جماعية خبيثة عبر فيسبوك

منذ وقت قريب، قام احد خبرائنا من فريق البحث العالمي والتحليل دايڤد چاكوبي بإكتشاف برمجية خبيثة منتشرة على العديد من المواقع. ويتم تداولها ونشرها عبر رسائل فيسبوك. وكان قد انتشرت هجمات مماثلة منذ سنين قليلة.

كانت هذه الهجمات تحدث كثيراً ولكن كان يتصدى لها فيسبوك.

نشرنا تقرير مبدئي عندما كان چاكوبي لازال يبحث في تفاصيل البرمجية الخبيثة وكيف تعمل. ولكن الآن تم التوصل لجميع تفاصيل. ومن وجهة نظر المستخدم نعرض كيفية عمل العدوى والبرمجية الخبيثة.

• تصل رسالة الي المستخدم عبر فيسبوك من احد أصدقائه تحتوي على كلمة ” ڤيديو” واسم المرسل. واحد الرموز التعبيرية ورابط لموقع.
  مثل هذا!
  
• الرابط يصلك ب Google Drive حيث يرى المستخدم ايقونة تشبه مشغل الوسائط المتعددة و الڤيديووهذه الأيقونة تحمل صورة المرسل في الخلفية.
• إذا ضغط الضحية على زر تشغيل الڤيديو سوف يتم تحويله على نافذة تشبه موقع YouTube وتطلب تحميل Google Chrome extension.
• إذا وافق المستخدم على تحميل البرنامج سوف تبدأ البرمجية في ارسال نفس الرابط لجميع أصدقائه على فيسبوك وتكرار نفس الحلقة مرة أخرى.
• مستخدمي اي متصحف آخر تم ارسال تنبيه لهم لتحديث برنامج Adobe Flash Player. بدلاً من تنزيل برنامج جديد. ولكن في واقع الأمر “آدوير” يستخدم معلومات المستخدمين لبيعها للمعلنين وربح المال.

 قام چاكوبي بمساعدة فرانس روسين احد الباحثين وهم يعملوا سوياً على مشروع  “Hunting bugs for humanity,”  قامو بتحليل هذه الهجمات ومعرفة كيف تعمل.

الصفحة التي يتم تحويل المستخدم عليها هي ملف PDF تم رفعه على Google Drive ويتم الحاق صورة الضحية الأولى (صديق المستخدم) كأيقونة لزر المشاهدة

مثال لشكل الصفحة

عند ضغط الرابط يتم تحويل المستخدم الي واحد من مواقع عدة. لمستخدمي اي متصفح آخر غير Google Chrome يتم عرض عليهم تحميل تحديث  Adobe Flash Player.

اما في حالة Chrome فهذه فقط البداية. فإذا وافق المستخدم على تحميل البرنامج سوف يراقب البرنامج جميع المواقع والصفحات التي يفتحها المستخدم حتى يصل الي Facebook.  ومن ثم يتم سرقة كلمة السر وترسل الي موقع البرمجية الخبيثة.

استخدم هؤلاد المحتالون ثغرة موجودة في موقع فيسبوك. وهي Facebook Query Language (FQL) والتي كان تم تعطيلها منذ سنة ماضية. ولكن لم يتم مسحها بشكل كامل، تم منع استخدامها في التطبيقات ولكن هناك بعض الاستثنائات.

مثلاً Facebook Pages Manager لازال يستخدم  FQL.

باستخدام كلمة السر والبريد الإلكتروني المسروقين يستطيع المحتالون طلب لائحة بجميع الأصدقاء المتاحون. وعادة يتم اختيار ٥٠ صديق بطريقة عشوائية ويرسل اليهم نفس رابط الفيديو الوهمي من حساب الضحية.

يجب التنويه أيضاً ان البرمجية الخبيثة تستخدم حسابات الضحايا على فيسبوك لإعجاب صفحات معينة. وكان فيسبوك اغلق بعض هذه الصفحات بالقبل.

ولكن تم إنشاء صفحات جديدة. وصل عدد الإعجابات الي الآلاف!

بعد فحص كود البرمجية تبين انه يعمل على تخصيص كل رسالة، بمعنى ان كل رسالة يتم ارسالها من حساب ضحية تختلف على حسب صورته الشخصية. وتكون الرسالة بسيطة وقصيرة. من خلال فحص هذا الرابط تبين ان المحتالون استهدفوا حسابات افراد من دول أوروبية عديدة مثل (ايطاليا، المانيا، البرتغال، فرنسا، تركيا. اليونان، السويد وكل الدول التي تتحدث اللغة الإنجليزية.

وتعاونت العديد من الشركات لوضع حد لهذه الهجمات، وهذه القصة يجب ان تذكرنا دائماً بأهمية extensions وأدوات المتصفح وانها ليست آمنة ويمكن استخدامها لإلحاق الأذى بالمستخدمين. ويجب علينا التأكد دائماً من انها لا تتبع انشطتك وتحركاتك عبر الانترنت ويمكنها سرقة معلوماتك.