Het Deense beveiligingsbedrijf CSIS ontdekte gisteren een actieve variant van de malware die zich via een worm op Facebook verspreidt. De worm steelt de inloggegevens van Facebookers en verstuurt malafide links naar vrienden van het slachtoffer. De links leiden naar webpagina's waar gebruikers besmette screensavers kunnen downloaden.

Screensaver bevat exe

De screensaver bestaat uit een uitvoerbaar bestand (executable). Door de installatie van het bestand worden gebruikers met verschillende malware geïnfecteerd. Eén van de virussen is een variant van de beruchte Zbot/Zeus trojan die gevoelige (bank)informatie van de gebruiker achterhaalt.

De code van de malware is volgens CSIS ontwikkelt in Visual Basic 6.0 en is bestand tegen een groot aantal anti-VM trucs zoals VMware, Sandboxie, Virtual Box. Hierdoor is het niet mogelijk om het bestand geïsoleerd te testen in een afgesloten, virtuele omgeving.

Servers

De worm wordt gehost vanaf een aantal besmette domeinen, waardoor de malafide link op Facebook varieert. Andere gecompromitteerde servers verzamelen volgens CSIS daarnaast gegevens over de geïnfecteerde computers.

De ZeuS trojan is de laatste jaren op meerdere manieren ingezet door cybercriminelen. Vorig jaar maakte de trojan slachtoffers via het sociale zakennetwerk LinkedIn. Daarvoor is ZeuS ingezet om informatie te stelen van militaire organisaties en overheidsinstanties, waaronder het Amerikaanse Witte Huis. Ook mobieltjes bleven niet gespaard door de trojan.

Vermomming

Afbeelding van malafide screensaver met thumbnail van twee blonde vrouwen (via CSIS):