Rogue Chrome förlängningsstativ upp Facebook "gillar" för onlinebanditare

Säkerhetsforskare vid Bitdefender har upptäckt en ny phishing-bluff som installerar en skadlig förlängning i Chrome-webbläsaren för att göra Facebook " gillar "till kontanter för cyberkrokar.

Utnyttjandet börjar med en skadlig länk som är inbäddad i spam-e-post, säger Bogdan Botezatu, en äldre e-hotanalytiker vid Bitdefender. Länken hänvisar dig till Chrome Web Store, där du laddar ner ett tillägg för en "business" -spelare, förutsatt att du är dumt nog att klicka på spamlänkar.

När denna så kallade "business" -version av Flash är laddas ner, den övervakar din webbläsaraktivitet. När du landar på en Facebook-sida med Chrome kontrollerar skadlig programvara dina webbläsark cookies för att se om du är inloggad på Facebook. Om du är kommer det att hämta en del Javascript-kod som berättar förlängningen vad du ska göra med ditt konto.

[Läs vidare: Så här tar du bort skadlig kod från din Windows-dator]

"De kan köra så många kampanjer som de vill ha, sade Botezatu i en intervju. "Allt de behöver göra är att hämta ett nytt skript."

Med ditt skript kan ditt konto användas för att skräpposta dina vänner, skicka skadliga länkar på ditt nyhetsflöde och tidslinje och automatiskt "som" sidor utan din vetskap. "De kan göra allt som användaren kan göra med sitt Facebook-konto," sa Botezatu.

En angripare kan också stjäla dina Facebook-cookies med den skadliga tillägget. Då kan skurken använda cookies för att komma åt ditt konto från en annan dator. "Så här kan du förlora ditt konto," sa Botezatu.

Skriptet instruerar också kompromitterade konton till "som" specifika sidor. När en sådan sida upptäckts av Bitdefender hade mer än 40 000 gillar, även om sidan saknade innehåll.

När dessa sidor ackumuleras gillar deras återförsäljningsvärde på Dark Net stiger. Som sidorna rack up gillar blir de mer synliga för Facebook-användare. Den synligheten är värd hundratusentals dollar för cyberkrokar eftersom det ger dem en plattform för att rikta Facebook-användare med allt från mer skadlig kod till platser för förfalskade kläder.

"På underjordiska forum i Ryssland säljer en sida med 100 000 liknande för ca $ 150 till $ 200, säger Botezatu.

När en byte bandit köper en sida kan han skriva om det igen. "De kan få sidan att se ut som om den är kopplad till ett välkänt varumärke," förklarade han. "Vi såg en sida som används för att marknadsföra falska Nike-sportkläder."

Skadliga länkar kan också läggas ut på sidan så att alla besökare som gillar sidan kommer att visa länkarna på sina egna Facebook-sidor, tillade han.

Botezatu sa att det är osannolikt att denna typ av infektion kommer att upptäckas av ett antivirusprogram, såvida inte programmet även innehåller webfilter. "Denna typ av hot kan kvarstå i en webbläsare under ganska lång tid," sa han.

Det här är inte första gången Chrome-tillägg har blivit vana vid Facebook. Förra våren började skurkliga tillägg visas i Googles webbutik som lovar att tillåta att Facebook-användare gör saker som att ändra färg på profilsidor och ta bort sociala medier.