SHA1:
- 71b1c32f89dcd3c2cbdb9f0e50685025f6f5f59b
- 75c24cc6bbfa89f5f4a622913f762b76dd7a24af
Вредоносный плагин для браузера Google Chrome, состоит из трех сценариев на языке JavaScript. Если пользователь, в браузере которого установлена эта надстройка, авторизуется в социальной сети Facebook, плагин проверяет location.hostname, если значение отличается от facebook.com, скрипт завершается.
Из файлов cookies извлекается uid, из страницы социальной сети — csrf-токен. С интервалом в 10 микросекунд троянец удаляет из интерфейса веб-страницы Facebook блоки со следующими классами:
- _5ce
- uiToggle wrap
- logoutMenu
- uiPopover
- UFICommentCloseButton
Затем троянец создает страницу сообщества, название которой генерируется автоматически. С использованием ID сообщества, фотографии жертвы, установленной в качестве аватара, и адреса веб-страницы, извлекаемого из конфигурационного файла, троянец формирует пост формата «поделиться ссылкой» и с определенным временным интервалом размещает его в своей ленте. Поскольку троянец при создании поста «упоминает» в нем всех друзей текущего пользователя из полученного ранее списка, это сообщение также появляется в их ленте событий.
При переходе по ссылке, указанной в таком сообщении, пользователь Facebook попадает на веб-страницу, копирующую внешний вид Facebook (если переход осуществляется с какого-либо другого сайта, посетитель перенаправляется на пустую веб-страницу). На странице демонстрируется якобы стандартный компонент видеопроигрывателя. Если посетитель страницы использует браузер Chrome, при попытке просмотреть этот видеоролик на экране появится диалоговое окно с предложением установки плагина для браузера. В качестве него может быть загружена как копия самого Trojan.BPlug.1074, так и другие плагины.
