Agressieve worm steelt gegevens Myspace-gebruikers
Gepubliceerd: Dinsdag 5 december 2006
Auteur: Evan Schaafsma
Volgens beveiligingsbedrijf Facetime Communications wordt Myspace bedreigd door een 'agressieve worm' die inloggegevens van gebruikers steelt.
De worm maakt gebruik van een combinatie van een twee weken geleden ontdekte cross-scripting kwetsbaarheid en een functie van Apple's Quicktime mediaspeler. De worm slaat toe als een gebruiker een Myspace-profiel bezoekt waarop een geïnfecteerde Quicktime-video staat. De film laadt een Javascript-code die een nepmenu projecteert bovenop de menu-opties van een Myspace-profiel.
Als een menu-item in het nepmenu wordt aangeklikt, wordt de gebruiker naar een nagemaakte Myspace-inlogpagina geleid, waar de inloggegevens worden gekaapt. De worm maakt gebruik van de functie 'href track' in Quicktime. Deze functie geeft de mediaspeler opdracht om Javascript-code uit te voeren waarmee websites in een browservenster geladen kunnen worden. Beveiligingsbedrijf Websense heeft een screenshot van de valse inlogpagina online gezet.
De worm stuurt bovendien spamberichten naar personen in de contactenlijst van het geïnfecteerde profiel. Die spamberichten bevatten een bestand dat een film lijkt te zijn, maar in werkelijkheid een link is naar een pornosite waar adware van Zango, het voormalige 180 Solutions, wordt gehost.
Op alle aangetaste profielpagina's verschijnt ook een geïntegreerde Quicktime-film die bezoekers vervolgens weer naar het valse inlogscherm kan leiden. Volgens Cristopher Boyd, manager beveiligingsonderzoek bij Facetime Communications, blijkt uit een steekproef onder 150 profielen dat bijna eenderde geïnfecteerd is. Hoewel Firefox 2.0 een aantal van de nagemaakte inlogpagina's als phishing sites markeert, is het kwaad volgens Boyd dan vaak al geschied, omdat het een paar uur duurt voordat phishing sites als zodanig herkend worden.
