Масштабная вредоносная кампания, направленная против российских пользователей Facebook, была зафиксирована экспертами «Лаборатории Касперского» в апреле этого года. Многие россияне пострадали от мошеннической активности, а спустя 6 месяцев киберпреступники начали пользоваться данной тактикой при атаках на пользователей из стран Европы.
Хакеры размещают на взломанной Facebook-странице ссылку на видео «для взрослых», которое якобы опубликовано на YouTube. Чтобы привлечь внимание пользователя, киберпреступники ставят лайки под видеороликом от имени друзей потенциальной жертвы.
Пользователь по ссылке проходит на сайт, который похож на настоящую веб-страницу YouTube. В то же время адресная строка является признаком того, что эта страница никоим образом не связана с YouTube. По словам экспертов «Лаборатории Касперского», в ходе последних атак киберпреступники пользовались доменом xic.graphics, который также применялся для распространения троянской программы Eko. Сейчас xic.graphics недоступен, но специалисты нашли еще около 140 доменов, которые могут применяться для аналогичных целей.
Когда пользователь пытается воспроизвести видео, на экране отображается уведомление о том, что необходимо осуществить установку расширения для браузера, поскольку в противном случае ролик нельзя будет посмотреть. С помощью вредоносного расширения хакеры получают доступ к любой информации, которую жертва вводит в браузере. Кроме того, расширение занимается распространением вредоносной ссылки от лица пострадавшего пользователя.