De tagging-malware verspreidt zich middels een bericht met een opvallende video waarin waarin 20 vrienden van de gebruiker zijn getagd. De video's zijn telkens anders en tonen een goo.gl adres (URL afkortingsdienst). Gebruikers die op de video klikken worden doorgestuurd naar een externe pagina waar hun details over de gebruikte browser en het gebruikte besturingssysteem worden geanalyseerd.
De controle van het besturingssysteem is bijzonder grondig, met scenario's voor de verschillende besturingssystemen, van Android smartphones tot PlayStation consoles, mediaspelers, smart cars, TV-sets, etc. De gebruikers worden vervolgens gekoppeld aan een frauduleus SMS-service met een nutteloos premium service van €3.00.
Allemaal d.m.v. een aantal redirects, met een tussenstop bij een monitoring-service voor mobiel verkeer, die de hackers allerlei gegevens verstrekken over hun slachtoffers.
Verder stuurt de malware sommige gebruikers door naar een nep Facebook-pagina waar gevraagd wordt om een Flash Player te updaten om de (porno)video te bekijken. De Flash Player wordt natuurlijk niet echt ge-update, er wordt een SFX-bestand gedownload die, wanneer je erop dubbelklikt, twee malware toepassingen installeert: install.exe (Gen:Variant.Graftor.172986) en setup.exe (Gen:Variant.Symmi.49919). De eerste is een backdoor om andere kwaadwillge componenten te installeren en de tweede is verantwoordelijk om de malware via Facebook verder te verspreiden.
Kom je dus een bericht tegen waarin een van je vrienden getagd is als één van de 20, zeker niet op de video klikken. Ook kun je in de instellingen van Facebook de optie inschakelen waardoor je berichten moet controleren waarin je door vrienden bent getagd voordat ze op je tijdlijn worden weergegeven.
Geschreven door Marco Korthout @ 3 feb. 2015 18:12
