駭客工具和利用SOPA的問卷調查詐騙以Facebook使用者做為目標
在監測趨勢科技主動式雲端截毒服務 Smart Protection Network技術內的資料時,我們注意到一個可疑檔案來自https://{BLOCKED}bookhacking.com/FacebookHackerPro_Install.exe。從網域名稱來看,這是針對社群網站 – Facebook臉書的駭客工具。
這工具看起來是用來擷取Facebook密碼。根據趨勢科技對這安裝程式的分析
,它就像是個普通的安裝程式會顯示使用者授權合約(EULA),並讓使用者選擇要安裝的資料夾。安裝過程中會產生惡意檔案「Toolbar.exe」,並且在使用者不知情下放入暫存目錄。
一旦安裝完畢,它會顯示一個視窗來要求使用者輸入目標Facebook帳號的電子郵件地址或是Facebook ID:
為了要看起來正常,這程式甚至會出現一個視窗表示要求正在進行中。二到五分鐘過後,它會通知使用者已經找到所要的密碼:
有趣的地方來了:想要獲得密碼,使用者必須購買產品金鑰,售價29.99美金。如果使用者選擇購買產品金鑰,會被導到網站https://{BLOCKED}bookhacking.com/p/unlock。
一旦購買之後,使用者需要再次輸入電子郵件地址或Facebook ID。既然已經有了金鑰,就會出現以下內容:
但是這工具怎麼取得這些呢?簡單:這個程式會下載並使用一個免費的第三方應用程式,用來恢復並顯示使用者本地瀏覽器暫存區內保存的密碼。所以只有在使用者電腦中有儲存過的密碼才會有用。上述的第三方應用程式是個正常的密碼恢復程式,只是被惡意的用在這次攻擊中。也就是說是指受害者被騙去付錢了 但其實只能看到儲存在自己電腦上的密碼而已 沒辦法找到別人的密碼。
如果駭客工具無法下載第三方應用程式,就會出現以下錯誤訊息:
