Facebook spam leidt tot Exploit Kit

Zonder enige verbazing, is de Blackhole Exploit Kit nog steeds bezig om gebruikers te infecteren. Één van de veelgebruikte technieken is een e-mail van bijvoorbeeld Facebook, LinkedIn, Twitter naar het slachtoffer te sturen waarbij gevraagd wordt op een link te klikken.

We bekijken deze tactiek nader. We ontvangen de volgende e-mail:

You have received a new comment

Hi ,You have disabled your Facebook account. You can restore your account at any moment by logging into Facebook using your old login email address and password. Subsequently you will be able to use the site in usual way.Thanks,The Facebook Team

Uiteraard heeft Facebook je account helemaal niet geblokkeerd. Er zijn enkele factoren waarmee eenvoudig bepaald kan worden dat de e-mail nep is.

• Het Van-veld zegt dat de e-mail van “Facebook” is, maar het bijbehorende e-mailadres is absoluut niet van Facebook: “nondrinker@iztg.hr”.
• Heb je je account gedeactiveerd? Nee? Dan is er geen aanleiding om deze e-mail te ontvangen.
• Het onderwerp en de inhoud van de e-mail komen niet overeen.
• Als je met de muis over de links in de e-mail gaat wordt de echte URL getoond.

Na het klikken op een van de links wordt (na enkele redirects) de Blackhole Exploit Kit (aka BH EK) gepresenteerd. Deze probeert een Java exploit op de machine te laden door eerst de plugin en de Java versie die je gebruikt te detecteren.

PluginDetect

De payload? Waarschijnlijk ransomware of een Banker Trojan.

Je kunt het volledige JavaScript en de infectie bron vinden op Pastebin:
http://pastebin.com/9PgDTXsb

Voorkoming

• Gebruik de NoScript add-on in Firefox of NotScripts in Chrome om dit te voorkomen.
• Gebruik de WOT add-on om de status van een website te checken.
• Gebruik je gezond verstand en stel jezelf de juiste vragen (zie beneden).
• Gebruik een URL scanner als je onzeker over een URL bent. Voorbeelden van zo een scanner zijn: VirusTotal, URLvoid en URLquery.
• Verwijder Java indien mogelijk. Zie ook Verwijderen is meestal de beste oplossing.

Conclusie 

Wees zoals gewoonlijk bij dit type e-mails alert en stel jezelf altijd de juiste vragen:

• Waarom ontvang ik dit mailtje in mijn Ongewenste E-mail of Spam folder terwijl ik normaal gesproken e-mails van Facebook in mijn Inbox ontvang?
• Waarom zou Facebook mij dit sturen terwijl mijn account helemaal niet gedeactiveerd is?
• Waarom verwijzen de links niet naar Facebook websites?
• Waarom is de zender niet van Facebook zelf? Wat zie ik in de headers?

Gebruik je gezonde verstand, update zowel je applicaties als Windows en gebruik een degelijk antimalware en antivirus product.

Deze blog is geschreven door @bartblaze, werkzaam als malware analist bij Panda Security Nederland, en oorspronkelijk in het Engels gepubliceerd op Blaze's Security Blog