Ewolucja złośliwego oprogramowania 2010

Przeczytaj także: Złośliwe oprogramowanie. Ransomware uderza w dyski NAS

Liczne incydenty na Twitterze i Facebooku

Dwa z najpopularniejszych i najszybciej rozwijających się portali społecznościowych stanowiły cele licznych ataków w 2010 roku. Portale społecznościowe stały się środowiskiem dystrybucji szkodliwego oprogramowania, w dużej mierze dzięki wykryciu w nich luk w zabezpieczeniach, które znacznie ułatwiają to zadanie.

Spośród szkodliwych programów najaktywniejsze były liczne warianty robaka Koobface. Szkodniki te atakowały głównie Twittera, wykorzystując następnie zainfekowane konta na tym portalu do rozsyłania odsyłaczy do trojanów. Skuteczność dystrybucji za pośrednictwem portali społecznościowych potwierdzają następujące statystyki: tylko w jednym niewielkim ataku na Twittera ponad 2 000 użytkowników kliknęło szkodliwy odsyłacz w ciągu jednej godziny.

W maju na Twitterze miał miejsce znaczący incydent związany z popularnością iPhone’a. 19 maja administratorzy tego portalu oficjalnie poinformowali o publikacji nowej aplikacji o nazwie ‘Twitter for iPhone’. Cyberprzestępcy postanowili wykorzystać falę dyskusji, jaką wywołał ten news. Niecałą godzinę od ujawnienia informacji o pojawieniu się nowej aplikacji Twitter pękał w szwach od wiadomości zawierających słowa “twitter iPhone application” oraz odnośniki prowadzące do robaka Worm.Win32.VBNA.b.

Co więcej, niektórzy twórcy szkodliwego oprogramowania wykorzystywali Twittera w celu generowania nazw nowych domen dla centrów kontroli botnetów.

Cyberprzestępcy aktywnie wykorzystywali kilka luk XSS zidentyfikowanych na Twitterze. Szczególnie istotne były ataki przeprowadzone we wrześniu. Polegały na infekowaniu tego portalu społecznościowego kilkoma robakami XSS, które potrafiły rozprzestrzeniać się bez interakcji użytkownika: wystarczyło jedynie otworzyć zainfekowaną wiadomość. Według naszych szacunków, ofiarą tych ataków padło ponad pół miliona użytkowników Twittera.

W maju pojawił się nowy rodzaj ataków na Facebooka, wykorzystujący nowo wprowadzoną funkcję “Like” (Lubię to). Jak można się łatwo domyślić, funkcja ta pozwala stworzyć listę rzeczy, które lubi właściciel konta na Facebooku. Tysiące użytkowników padło ofiarą ataku, który zyskał nazwę “Likejacking” (nazwa jest grą słów i nawiązuje do terminu “Clickjacking”).

Atak polegał na umieszczeniu przykuwającego uwagę odsyłacza na Facebooku, np. “World Cup 2010 in HD” lub “101 Hottest Women in the World”. Odsyłacz prowadził do specjalnie stworzonej strony internetowej, na której kod JavaScript umieszczał niewidzialny przycisk “Like” w miejscu, w którym znajdował się kursor. Przycisk podążał za kursorem i rejestrował każde wciśnięcie niezależnie od tego, co w rzeczywistości klikał użytkownik. W efekcie, kopia odsyłacza była dodawana na Tablicy użytkownika, a jego znajomi dowiadywali się, że użytkownik lubi ten odsyłacz. Atak ten miał efekt śnieżnej kuli: odsyłacz był klikany przez przyjaciół, następnie przyjaciół przyjaciół i tak dalej. Po dodaniu odsyłacza do Tablicy użytkownik był przekierowywany na stronę zawierającą reklamowane informacje, takie jak zdjęcia dziewczyn. Celem tego ataku było oszustwo: strona zawierała również niewielki kod JavaScript wykorzystywany do kampanii reklamowej, z której cyberprzestępcy uzyskiwali niewielką sumę za każdym razem, gdy użytkownik został przekierowany na stronę.