Facebook-Malware verbreitet sich über Google Chrome

Hacker verteilen derzeit mit Hilfe des Google-Browsers Chrome Malware an Facebook-Mitglieder. Wie Hackread berichtet, erhalten Nutzer per E-Mail oder in einer Facebook-App eine Benachrichtigung, wonach sie von einem Freund in einem Kommentar zu einem Facebook-Eintrag markiert wurden. Ein Klick auf die Benachrichtigung führt allerdings nicht zu dem Kommentar, sondern lädt ein Schadprogramm herunter.

Ein Sicherheitsforscher hat die Malware analysiert und seine Erkenntnisse auf Stack Exchange veröffentlicht. Demnach handelt es sich um eine JavaScript-Datei, die mithilfe des Windows Script Host ausgeführt werden kann. Das Skript wiederum lädt eine Erweiterung für Chrome herunter, das Skript-Tool AutoIt sowie weitere Skripte, die auch Ransomware enthalten können. „Alle diese Dateien haben eine .jpg-Endung auf dem wahrscheinlich kompromittierten Server, auf dem sie gehostet werden, um sie weniger verdächtig zu machen“, schreibt der Forscher.

Derzeit richtet sich die Schadsoftware dem Bericht zufolge in erster Linie gegen Chrome-Nutzer. Es sei nicht klar, ob Firefox und andere Browser ebenfalls betroffen seien. Möglicherweise erhielten Nutzer die gefälschten Benachrichtigungen, weil zuvor einer ihrer Freunde gehackt wurde.

Der Forscher weist aber darauf hin, dass der Download der JavaScript-Datei alleine nicht ausreichend ist, um einen Windows-PC mit Malware zu infizieren. Dazu muss die Skript-Datei auch ausgeführt werden. Hackread empfiehlt Betroffenen, die JavaScript-Datei nicht zu starten und sofort zu löschen.

Erst kürzlich hatte Trend Micro auf eine auf JScript basierende Ransomware namens RAA hingewiesen. Die Verwendung einer Skriptsprache kann laut Trend Micro die Erkennung eines Schadprogramms erschweren. Die Technik an sich sei aber nicht neu. Schon die Version 4 von Cryptowall habe einen in JScript geschriebenen Downloader benutzt.

Tipp: Sind Sie ein Facebook-Experte? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.