Dorifel-virus verspreidt zich via Facebook Chat

De Dorifel-cryptomalware zou zich via de chatfunctie van Facebook verspreiden. Gebruikers krijgen een link voorgeschoteld onder het voorwendsel dat ze foto's te zien krijgen. De link leidt echter naar een pagina die de malware installeert, waarna de link wordt doorgestuurd naar vrienden.

De kwaadaardige links worden via Facebook Chat verspreid met daarbij de tekst 'Your photos? LOL'. Wie de chatfunctie niet geactiveerd heeft, krijgt de link als bericht in de map Overige. De link leidt naar een site die er uitziet als een Facebook-pagina en die de melding geeft dat een app geïnstalleerd moet worden om de content te zien. De automatische download haalt echter Trojan-Dropper.Win32.Dorifel binnen, die vervolgens meer malware het systeem binnensmokkelt, onder andere om bankgegevens te stelen.

Ook wordt na installatie de link verder verspreid via de vriendenlijst van het slachtoffer. De verspreiding werd ontdekt door de Oostenrijkste site Mimikama, die Facebook-gebruikers waarschuwt voor kwalijke praktijken omtrent het sociale netwerk. Dorifel hield vorig jaar vooral in Nederland huis en toen verliep de verspreiding vooral via het Citadel-botnet. De malware gijzelt onder andere Office-documenten. Recent bijgewerkte antivirussoftware zou de malware moeten herkennen.

Nep Facebook app downloaden

Kaspersky Dorifel

IT-banen

Reacties (72)

rob12424 30 maart 2013 14:28

Ik vraag me af: Ik werk voornamelijk onder Linux (fedora 18 bedole ik!) Als ik dan de link aanklik. Stuurt hij dan de zooi door naar mijn vriendenlijst gelijk of gebruikt hij het Windows besturingssyteem en stuurt het daarna door?

[Reactie gewijzigd door rob12424 op 28 juli 2024 20:34]

ray0755 @rob12424 • 30 maart 2013 14:54

Fedora Core is al een tijdje EOL? Ik zou als eerste maar upgraden naar een OS dat nog updates krijgt.

huntedjohan @ray0755 • 30 maart 2013 16:48

of je gelijk heb weet ik niet, maar vind zn vraag wel een goeie. als het doorsturen van die zooi via facebook zelf gebeurt zonder dat windows er tussen in zit zou het op een linux of osx bak nog altijd door gestuurd worden naar vrienden op facebook.

Verwijderd @huntedjohan • 30 maart 2013 23:03

Lijkt me niet: Trojan-Dropper.Win32.Dorifel
Win32

Wampa1 30 maart 2013 13:48

Waarom richten ze zich niet op de mobiele apps als ze toch bankfraude willen plegen. Ik weet niet hoeveel mensen ik zie die lopen te zwaaien met hun handige bank-app en dan vervolgens hun toestel los laten rondslingeren.

ps: gelukkig heb ik geen facebook.

Verwijderd @Wampa1 • 30 maart 2013 14:25

Ik heb rekeningen bij 3 verschillende banken, en bij elk van hun mobiele applicaties dien je altijd je kaartlezer te gebruiken als je naar een nieuwe bankrekening wil overschrijven. Je kan enkel met je paswoord naar een reeds toegelaten rekening nummer storten.

Lijkt me dus helemaal niet interessant voor fraudeurs, vermits ze sowieso de kaartleer moeten kraken, en zich dan beter maar op de desktop websites richten indien ze dat klaarkrijgen.

hackerhater @Verwijderd • 30 maart 2013 17:05

Sowieso logt de Rabobank app op Android me direct uit zodra ik de app verlaat. zelfs als iets anders even de focus pakt (of het scherm uit gaat).

Verwijderd 30 maart 2013 13:59

Zo zie je maar dat de gebruiker meestal het zwakste punt van de beveiliging is. Af en toe snap ik niet hoe mensen in dit soort vallen trappen. Altijd even nadenken voordat je een link opent. Helemaal als er verder niets bij vermeld is of in dit geval niet in je native language geschreven is. Dan moeten er sowieso al enkele belletjes gaan rinkelen.

Het lijkt er wel op dat gezond verstand tegenwoordig een stuk zeldzamer is.

[Reactie gewijzigd door Verwijderd op 28 juli 2024 20:34]

SuperDre @Verwijderd • 30 maart 2013 16:34

nou, dat van die 'niet in je native gecshreven taal' vindt ik natuurlijk onzin, genoeg sites die niet in jouw taal zijn..

Verwijderd @SuperDre • 30 maart 2013 17:02

Ik heb het helemaal nergens over websites? Het gaat hier over het aanbieden van een link door middel van de chat. Bepaalde virussen misbruiken de chat-functionaliteit om links naar personen uit de contactlijst te versturen. Deze links navigeren de onoplettende gebruikers vervolgens naar onveilige sites die als doel hebben om de virussen verder te verspreiden.

Het gaat mij dus om het bericht zelf. Hoeveel contactpersonen heb jij die vanuit het niets een link versturen? Is het zoveel moeite om even een gesprekje aan te knopen om te kijken of hij daadwerkelijk de afzender is?

En dit account is toch eigendom van een bekende? Je hebt toch bepaalde verwachtingen aan hoe deze jou benaderen? Een buitenlandse taal valt hierbij meteen op. Dit zijn dus allemaal manieren om common sense toe te passen die problemen voorkomen.

Je zou overigens wel een punt hebben als je een bericht in je native language zou ontvangen. Echter, de vertaling laat dan vaak te wensen over.

SuperDre 30 maart 2013 16:36

en uiteindelijk is het hier toch nog steeds de gebruiker die het probleem is, want die malware kan alleen geinstalleerd worden als de gebruiker er toestemming voor geeft. en DAT kan dus op elk OS...-

hackerhater @SuperDre • 30 maart 2013 17:08

Klopt. tegen trojans is niks bestand behalve die mensen geen beheerders-rechten geven.

Maar het is een groot verschil of het een drive-by infectie is of een programma dat je zelf moet installeren.

Memo88 30 maart 2013 17:25

Je kan iemand niet verwijten omdat hij geen of weinig verstand heeft van computers.
Hoe kan je een gebruiker het probleem noemen? Slachtoffer heet zo iets.

Deralte @Memo88 • 30 maart 2013 18:09

Tja, je gaat ook geen vliegtuig besturen zonder de nodige voorkennis... Imo is de gebruiker vaak erg dom en goedgelovig...

iVisionz @Deralte • 31 maart 2013 04:11

Goed dat je een computer vergelijkt met een vliegtuig.. Erg logisch ja....

supersnathan94 @iVisionz • 31 maart 2013 19:31

Andersom gaat die analogie toch beter. Een vliegtuig vergelijken met een computer. Als een vliegtuig crasht is het vaak hardware gerelateerd. Of het is een fout tussen de stoel en het scherm :-D

rjtuijnman @Memo88 • 31 maart 2013 01:07

Helemaal mee eens. Veel van die criticasters hier willen vooral laten blijken hoe geweldig slim en deskundig ze zijn...
Mijn moeder is 83 en ik ben blij dat ze die computer uberhaupt AAN krijgt! Wat mag je aan whizz-kid-kennis verwachten van zo'n mensje? Het is toch logisch dat ze geen 'nerd' is?
Ook voor die mensen moet het gebruik gewoon veilig zijn. Punt. Niks 'dom' of 'Microsoft'. De schoften die dit uitvreten moeten aan de eerste de beste boom worden opgeknoopt!

daveb1987 31 maart 2013 14:41

Dat mensen hierin blijven trappen, dit is gewoon weer hetzelfde als de mailtjes die je vroeger (en nog steeds) kreeg.

Mail van jantje84@hotmail.com: "We hebben leuke fotos van je vrienden gespot, klik hier om ze te bekijken.."

I Love You virus (In 2000 dacht ik)

Nep bank mailtjes over PUK codes ter bevestiging. Waarbij je ook op een website kwam die eruit zag als de originele bank alleen dan een ander domeinnaam en spelfouten.

etc..etc..

En als er dan een nieuw medium is, zoals FaceBook, waarop soortgelijke technieken gebruikt worden dan vergeten veel mensen opeens weer ''op te letten'' en worden heel naïef.

Ach zoals al eerder werdt vernoemd, klikt het gemiddelde volk op Facebook overal op.. kijk alleen al naar hoeveel mensen trappen in.. If you like this, see what happens to the picture

Edit:
Bedacht me ineens dat je via MSN (ook chat net als FB) ook dit soort dingen kon binnen krijgen. Kortom er zijn zoveel voorbeelden geweest dat mensen zich toch wel enigzins moeten kunnen bedenken dat het nep is..

[Reactie gewijzigd door daveb1987 op 28 juli 2024 20:34]

Avathar 30 maart 2013 14:14

Ja als je je computer niet aanzet wordt je ook niet geinfecteerd Thc_Nbl.......

Laten we eerlijk zijn het is een fail van facebook. Aangezien het op hun site gebeurt.

Normaal als iemand een dienst aanbied die niet goed werkt of bijeffecten heeft is die leverancier aansprakelijk.

Tweekzor @Avathar • 30 maart 2013 14:24

Ja want Facebook moet elke link die gepost word scannen en blokkeren indien het naar malware leid?
Het gaat om een link met daar achter een nagebouwde facebook lay-out en heeft dus niets te maken met het wel of niet werken van de dienst die facebook aanbied.

Niosus @Tweekzor • 31 maart 2013 13:20

Euuhhh... ja?

Een blacklist aanleggen met bekende domeinen die vieze dingen verspreiden. Als een platform met bijna een miljard gebruikers (waaronder honderden miljoenen "idioten" op technisch vlak) heeft een bepaalde verantwoordelijkheid. Net zoals gmail het niet toelaat om .exe bestandjes te versturen en Google zelf in Chrome of in hun zoekresultaten je grote waarschuwingen toont wanneer er iets louche met een site is.

Wettelijk zijn ze nergens toe verplicht, maar moreel wel. Als er via jou systeem miljoenen mensen besmet raken is dat toch echt wel gedeeltelijk jouw verantwoordelijkheid. Zelfs al tonen ze een kleine waarschuwing, ze moeten iets doen...

Verwijderd @Avathar • 30 maart 2013 15:43

Bij mijn weten benoem ik nergens drastische maatregels als het niet gebruiken van de computer of diensten. Ik plaats enkel de opmerking dat je door het toepassen van common sense een heel eind kan komen op het gebied van veiligheid. Niets meer, niets minder.

Je kunt Facebook exploiten. Nou en? Lekker makkelijk om met je vingertje te wijzen. Ik heb zo'n vermoeden dat dit met vrijwel alle vergelijkbare diensten mogelijk is. Dat deze dienst nou toevallig een dusdanig grote gebruikersgroep heeft dat dit bericht nieuwswaardig maakt, is een heel ander verhaal. Vroeger zagen we dit toch ook bij MSN?

Natuurlijk zal de leverancier dit tegen proberen te gaan. Maar de leverancier aansprakelijk stellen? Dan kunnen we net zo goed alle diensten opdoeken die ons ondersteunen bij de uitwisseling van informatie. Ik weet namelijk 100% zeker dat torrentsites grote aantallen virussen bevatten en mailclients gebruikt worden voor het versturen van spam en virussen.

Snow_King

30 maart 2013 13:33

Lijkt me toch dat Facebook hier wel actie tegen gaat ondernemen? Het is voor hen redelijk simpel om dit er uit te filteren gok ik zo?

Het zal vast niet de eerste, danwel de laatste keer zijn dat zoiets gebeurd.

Stiekem ben ik zelf toch altijd wel blij om Ubuntu op mijn PC's te draaien, heb ik geen last van dit soort spul. Wel klik ik vaak expres om te zien wát ze nu eigenlijk allemaal proberen.

blorf @Snow_King • 30 maart 2013 13:51

Volgens mij is het niet meer dan een spamlink naar een website met content waar alleen achterlijke mensen in trappen en die toevallig niet op een blocklist oid staat. Zoiezo loop je volgens mij nogal achter met je Windows-updates als die Dorifel trojan nu nog werkt. Ik gebruik geen Windows maar het lijkt me sterk dat dat nog niet geregeld is.

Verwijderd @blorf • 30 maart 2013 16:00

Volgens mij is het niet meer dan een spamlink naar een website met content waar alleen achterlijke mensen in trappen en die toevallig niet op een blocklist oid staat.

Je hebt geen Facebook? Je wilt niet weten hoeveel bagger daar moedwillig aangeklikt wordt door mensen. Profileview scams bijvoorbeeld. Het wordt immers gepost door een bekende!

Vergeet niet dat een enorm groot deel van de mensen die op Facebook zitten nauwelijks een andere browser op kunnen starten, laat staan iets van beveiliging weten.

Van Dorifel bestonden nogal wat varianten, het zou me niets verbazen als dit een update is. Anders zouden ze wel een andere geprobeert hebben. (Of dit loopt al een hele tijd en wordt nu pas opgemerkt.)

SuperDre @Snow_King • 30 maart 2013 16:31

goed zo, lekker de onnozele uithangen.. ook linux is niet vrij van zijn exploits..

Verwijderd @SuperDre • 30 maart 2013 22:59

Nee maar er zijn zoveel redenen om Windows en Microsoft te weren. Dat maken die paar Linux exploits echt wel goed

Verwijderd @Verwijderd • 31 maart 2013 17:04

Klopt. Maar de reactie van SuperDre was op het bericht van Snow_King. Die klikt onder Linux bewust op verdachte links om te zien wat er gebeurt. Tja, en dan zal je maar net één van die weinige Linux-exploits te pakken hebben....

Snow_King

@fdm391 • 30 maart 2013 13:57

Wat is daar raar aan? Ik wil weten hoe het werkt en ben me van te voren bewust dat het geen legitieme foto's zijn.

Al die exploits zijn echter op Windows gericht en zijn dus niet schadelijk voor een Linux PC.

Ik vind het gewoon boeiend om te zien wat ze proberen aan te richten. Daar kan je alleen maar van leren.

vali @Snow_King • 30 maart 2013 14:02

Ik vind het persoonlijk erg naïef om maar te denken dat je veilig bent als je op een Linux kernel draait. Er komen zat exploits voorbij die zich richten op Linux, alleen zie je die niet zo snel op tweakers.net.

Dit lijstje hier laat toch wel zien waar de meeste exploits te vinden zijn. Wil je 100% veilig zijn bij het browsen of bij het draaien van software, zou ik gebruik maken van sandboxie. Persoonlijk net eventjes getest en helemaal geen schade geleden.

[Reactie gewijzigd door vali op 28 juli 2024 20:34]

XVI @vali • 30 maart 2013 14:30

100 % veilig is onmogelijk en dat lijstje dat je aanhaalt is nou niet direct een goed argument tegen Linux (scroll bijvoorbeeld maar eens naar beneden en kijk naar de Vendors).

Verder is dit dus gewoon weer een aanval waar er al zoveel van zijn: Social Enginering.
Het is jammer dat dit gewoon erg moeilijk blijkt om tegen te gaan, hoe "veilig" je platform ook is.

vali @XVI • 30 maart 2013 14:50

100 % veilig is onmogelijk en dat lijstje dat je aanhaalt is nou niet direct een goed argument tegen Linux (scroll bijvoorbeeld maar eens naar beneden en kijk naar de Vendors).

Het is in ieder geval veiliger dan gebruik maken van browser die rechtstreeks met de hardware kan communiceren(natuurlijk heeft een browser ook een sandbox, maar Pwn2Own-competitie laat zien dat ze daar gemakkelijk doorheen breken), tevens doelde ik op Windows gebruikers met het programma. Geen idee of hij er voor Linux is.

Het Social Enginering verhaal is zeer makkelijk tegen te gaan, gewoon goede verstand. Maak gebruik van een goede spamfilter en niet domweg gegevens weggeven via de telelefoon, zo moeilijk is dat toch niet?

100 % veilig is onmogelijk en dat lijstje dat je aanhaalt is nou niet direct een goed argument tegen Linux (scroll bijvoorbeeld maar eens naar beneden en kijk naar de Vendors).

We hadden hier toch over een OS, dan moet je wel naar je juiste gegevens kijken. Microsoft staat in het totaal inderdaad hoger (als je naar beneden scrolt), maar dat komt doordat alles bij elkaar opgeteld is en verre weg meer software oplossingen aanbiedt dan het Linux foundation,.

[Reactie gewijzigd door vali op 28 juli 2024 20:34]

Gomez12 @Snow_King • 31 maart 2013 13:58

Wat is daar raar aan? Ik wil weten hoe het werkt en ben me van te voren bewust dat het geen legitieme foto's zijn.

Al die exploits zijn echter op Windows gericht en zijn dus niet schadelijk voor een Linux PC.

Totdat er ooit eens eentje gaat komen die op Ubuntu gericht is waardoor jij doelbewust de hele wereld gaat onderspammen.

Kiswum 30 maart 2013 14:41

Er gaat ook een plaatje rond met het bericht dat Faecebook (yep incl. typefout in het plaatje/titel) een zwarte uitvoering heeft. Gebruikers die hier op klikken verspreiden dit bericht ook weer door via hun eigen vriendenboek.
Ik heb van een aantal gebruikers begrepen dat dit ook een virus is, ik weet niet of dit hetzelfde virus is, maar goed het is stom om zo naief te zijn online.

hasjee 31 maart 2013 12:37

Hoe lang duurt het voordat facebook de "app" verwijdert?

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (72)

Sorteer op:

Weergave: