Facebook-worm verspreidt zich met een luguber lokmiddel

Facebook-gebruikers zijn besmet met een worm nadat ze op een afbeelding hebben geklikt van een schaars geklede vrouw, die de slachtoffers vervolgens doorverwijzingen naar een pornografische site, aldus beveiligingsonderzoekers.

De worm plaatst een afbeelding op de Facebook-muur van een slachtoffer met een foto van een vrouw in een bikini en het bericht "klik" da-knop, schat. " Muurpalen kunnen worden bekeken door vrienden van een Facebook-gebruiker.

Als een vriend op de afbeelding klikt en is aangemeld bij Facebook, wordt de afbeelding vervolgens op zijn eigen muur geplaatst. Hun webbrowser opent vervolgens een webpagina met een grotere versie van dezelfde afbeelding. Een volgende klik op "da-knop" leidt de vriend door naar een pornografiesite, volgens Roger Thompson, hoofdonderzoeksambtenaar voor antivirusverkoper AVG Technologies. Thompson plaatste een video van de aanval op zijn blog.

[Meer informatie: hoe verwijder je malware van je Windows-pc]

De makers van de worm verdienen waarschijnlijk geld door verwijzingen naar de pornosite te genereren, zei Nick FitzGerald, een onderzoeker op het gebied van bedreiging voor beveiligingsleverancier AVG.

Onderzoekers weten niet precies hoe de worm werkt, maar denken dat het een cross-site request forgery attack (CSRF) of een Clickjacking-aanval of een combinatie van beide is.

Een CSRF-aanval treedt op wanneer de inloggegevens van een slachtoffer worden gebruikt om enige actie uit te voeren, maar zonder hun medeweten. In dit geval plaatst de aanvaller de afbeelding op frauduleuze wijze op de Facebook-muur van het slachtoffer, meelevend op het feit dat het slachtoffer is ingelogd op zijn account.

Een andere mogelijkheid is clickjacking, waarbij aanvallers speciale webprogrammering gebruiken om slachtoffers te misleiden om op webknoppen te klikken zonder

Clickjacking is mogelijk vanwege een fundamentele ontwerpfunctie in HTML waarmee websites inhoud van andere webpagina's kunnen insluiten. Webbrowsers zijn kwetsbaar voor clickjacking-aanvallen, hoewel browsermakers hebben gewerkt om de verdediging tegen hen te versterken. Facebook classificeert de aanval als clickjacking, een aanval die 'niet specifiek is voor Facebook', aldus een schriftelijke verklaring. Facebook zei ook dat de aanval geen worm was.

"We hebben actie ondernomen om de URL (Uniform Resource Locator) te blokkeren die aan deze site is gekoppeld, en we zijn bezig met het opruimen van de relatief weinige gevallen waarin deze is geplaatst," verklaring zei. "Over het algemeen is een extreem klein percentage van de gebruikers getroffen."

Als de worm zich verspreidt via een clickjacking-aanval, "kan het voor Facebook moeilijk zijn om het probleem op betrouwbare wijze te verhelpen", aldus FitzGerald. "Hoe dan ook, het is een worm." Facebook waarschuwde gebruikers om niet op verdachte links te klikken. In dit geval valt de koppeling echter niet op als noodzakelijk achterdochtig vanwege de verscheidenheid aan Wall-berichten, afbeeldingen en applicaties die overal op de populaire sociale netwerksite voorkomen.

In feite heeft één beveiligingsonderzoeker per ongeluk de verdachte opnieuw gepost grafisch voor het besef dat er iets niet klopte. "Dit laat zien dat zelfs experts zelfvoldaan kunnen worden en vertrouwenssystemen kunnen gebruiken wanneer ze dat echt niet zouden moeten doen," schreef Gadi Evron, een onafhankelijk beveiligingsonderzoeker, op het blog van Dark Reading.