Специалисты Яндекса поделились подробностями распространения вируса OMG на Facebook’е; представили подробный анализ расширений для Firefox и Chrome; рассказали об опасностях для пользователей, которые таило в себе вредоносное ПО.

В середине декабря 2014 года на Facebook’е было зафиксировано массовое распространение вируса OMG. Программа рассылала пользователям сообщения с предложением просмотреть так называемое Private Video (частное видео). При переходе по ссылке рассылка вируса продолжалась друзьям пользователя. Затем на стене пользователя появлялась аватарка друга, его имя и фамилия, отметка «Private Video» и информация о якобы тысячах просмотров. При переходе по ссылке пользователь перенаправлялся по цепочке серверных редиректов. Конечным пунктом становилась веб-страница на dropboxusercontent.com. Она содержала js-скрипты, главной функцией которых была проверка браузерного объекта “navigator” и выполнение дальнейшего перенаправления. После перехода на ссылку с плеером пользователю предлагалось скачать специальное расширение.

Позднее представители социальной сети сообщили, что распространителем вируса стало расширение YouTurn, разработанное под Сhrome. Источник распространения вредоносных ссылок был заблокирован, а сами ссылки – удалены из Facebook.

Как выяснили представители Яндекса, расширение для Chrome, помимо распространения спам-публикаций и рассылок, таило в себе еще несколько опасностей: 1. предоставляло доступ к аккаунту для стороннего приложения, воспользовавшись которым злоумышленники могли выполнять целый ряд нежелательных или даже опасных для жертвы действий на ее странице; 2. стремительно распространяясь, внедряло рекламные баннеры с сомнительным контентом на всех возможных сайтах.

При этом функциональность расширений могла поменяться в любой момент, поскольку они подгружали свой код с внешнего сервера, который в разные моменты времени, а также в зависимости от каких-либо параметров зараженного пользователя мог отдавать совершенно различный код. К примеру, если изначально подгружаемый с внешнего сервера код, мог быть безобидным, то, спустя некоторое врем, он становился вредоносным.

По замечанию представителей Яндекса, активность программы в российском сегменте Facebook’а в декабре 2014 похожа на пробный запуск или неконтролируемый тест. При этом сама по себе программа не является чем-то принципиально новым. Предполагается, что данное заражение аффилировано с кампаниями по распространению сомнительной рекламы и подмене рекламы в браузерах.

По итогам расследования сотрудники поисковика заблокировали найденные вредоносные ссылки в SBAPI и DNS, а также вредоносные расширения в Яндекс Браузере.

Чтобы уберечь свои устройства и устройства друзей от заражения, пользователям рекомендуется не устанавливать подозрительные расширения, не кликать по сомнительным ссылкам в социальных сетях. Также категорически не рекомендуется устанавливать сомнительные расширения для браузеров.

Вебмастерам имеет смысл использовать на сайтах CSP, по возможности настраивать директивы img-src и object-src. Это позволит ограничить загрузку в браузеры пользователей сомнительных сторонних рекламных баннеров, а также избежать подмены оригинального контента ресурса содержимым, которое распространяет вредоносное ПО.

С полным анализом схемы распространения вредоносной программы можно ознакомиться здесь.