Воронежские пользователи соцсети Facebook пожаловались на массовую рассылку вируса во вторник, 16 декабря. Вирус распространяется в лентах пользователей: пользователи получают уведомления о том, что друзья в соцсети отметили их в своем посте. Пост содержит ссылку якобы на видеозапись, на самом деле – на страницу с вирусом. Судя по лентам новостей Facebook разных пользователей, жертвами вирусной рассылки стали десятки воронежцев.
«Ссылка на видео» ведет сначала на сервис «коротких» ссылок goo.gl, затем посетителя перенаправляют на поддельную страницу, имитирующую Facebook (примечательно, что надписи на этой странице – на испанском и турецком языках). На странице размещен блок, также имитирующий видео из сервиса Youtube. При нажатии на кнопку проигрывания посетитель получает уведомление о том, что видео не может быть воспроизведено – якобы необходимо установить дополнение для браузера (на самом деле «дополнение» – вредоносная программа). Примечательно, что трюк работает только в браузерах на движке WebKit (например, Google Chrome). Вирусная страница размещена на сайте aws.amazon.com – условно-бесплатном сервисе компании Amazon. Сообщения содержат также случайный 10-значный код из цифр и латинских символов.
По словам воронежских пользователей Facebook, ссылки на страницу с вирусом приходят им в личных сообщениях, а также отображаются в ленте новостей.
Каким образом злоумышленники получили доступ к аккаунтам пользователей, с которых приходят ссылки на вредоносную страницу, пока непонятно.
Авторы сайта «Цукерберг позвонит», посвященного соцсетям и интернет-проектам, отметили, что источником распространения сообщений стало именно «дополнение» к браузеру, которое вирусная страница предлагает установить пользователю. Чтобы удалить вредоносное «дополнение», нужно зайти в настройки браузера, выбрать пункт «Расширения» и удалить подозрительные дополнения. Кроме того, авторы предлагают отмечать как спам записи с вирусными ссылками.