Facebook-Malware mit CAPTCHA

Eine der Lieblingsbeschäftigungen vieler Facebook-Nutzer ist offenbar anderen Links zu Videos zu schicken, die sie irgendwo gefunden oder selbst produziert haben. Anders ist kaum zu erklären, dass eine so alte Masche der Malware-Verbreitung weiterhin erfolgreich ist. In der neuesten Variante ist so ziemlich alles gefälscht oder vorgetäuscht, von der Facebook-Seite über das Video und das Flash-Upgrade bis zu den CAPTCHAs.

Von bereits verseuchten Facebook-Konten aus verschickt ein Schädling Einladungen an andere Facebook-Nutzer sich ein Video anzusehen. Der Link führt scheinbar auf eine Facebook-Seite, tatsächlich jedoch nur zu einer Nachahmung. Das Video bekommen Besucher nie zu sehen, es existiert nicht. Stattdessen werden sie aufgefordert den neuesten Flash Player zu installieren, um das Video ansehen zu können. Die zum Download angebotene Datei "setup.exe" enthält jedoch keinen Flash Player sondern Malware, die weitere Schädlinge installieren soll. Dies berichtet Choon Hong im F-Secure Weblog.

Der neue Aspekt dieser altbewährten Masche folgt, wenn man den vermeintlichen Flash Player installieren will. Der Schädling präsentiert ein Fenster mit verzerrtem Text, ein so genanntes CAPTCHA. Es ist jedoch egal, was man in das Eingabefeld tippt - es wird stets als falsche Eingabe zurück gewiesen.

Während das Opfer mit dem CAPTCHA-Dialog beschäftigt ist, installiert der Schädling einige Malware-Datei im Windows-Verzeichnis, legt Registry-Einträge an und löscht sich dann selbst. Das CAPTCHA-Fenster verschwindet nach einigen Versuchen, taucht jedoch von Zeit zu Zeit wieder auf. Unterdessen greift die installierte Malware Daten ab und missbraucht den Rechner für illegale Aktivitäten. Zum Erfolg solcher Maschen trägtauch bei, dass Nutzer sozialer Netzwerke offenbar Sicherheitsmuffel sind.