Koobface ist eine dieser scheinbar nicht zu bändigen Malware-Familien. Die Schadsoftware und ihre verschiedenen Abwandlungen nutzen Facebook, um weitere Nutzer zu infizieren. Das funktioniert meist, indem ein kompromittiertes Profil genutzt wird, um Links zu verbreiten. Die Verknüpfung führt dann zu einer Webseite, auf der meist ein besonders lustiges, schockierendes oder erotisches Video hinterlegt sein soll. Um dieses ansehen zu können, benötigt der Nutzer aber einen speziellen Codec - der dort auch gleich zum Download angeboten wird. Man kann es fast erraten: Statt eines Video-Codecs steckt im Download die Malware.

 

Ein Forscher der Sicherheitsfirma Sophos warnt nun im Blog der Firma vor einem Facebook-Malware, die scheinbar in die Fußstapfen von Koobface treten will: Der Schädling lockt allerdings nicht mit einem Video. Scheinbar sollen Nutzer dazu gebracht werden, auf ein verlinktes Fotoalbum zu klicken - sie erhalten allerdings die Fehlermeldung, dass das Album verschoben worden sei, ein Klick auf den angebotenen Button würde den Nutzer aber dorthin leiten. Klickt der Nutzer auf den Button, startet im Hintergrund ebenfalls wieder der Download einer bösartigen Datei.

 

Neu an dieser Attacke ist, dass der Nutzer Facebook selbst nicht zu verlassen scheint. Das verlinkte Fotoalbum ist demnach unter „app.Facebook.com/Link“ abgelegt. Normalerweise würde Facebook beim Start so eines Links beim Nutzer nach den entsprechenden Berechtigungen anfragen – dieses Feature wird allerdings offenbar umgangen. Stattdessen lädt der Browser sofort eine ausführbare Datei namens „FacebookPhotosXXXXX.exe“ herunter. Währenddessen zeigt der Browser eine Fehlermeldung an, dass das Album verschoben sei.

 

Facebook hat die bösartige Applikation mittlerweile gelöscht, allerdings mutmaßt der Sophos-Forscher, dass noch zahlreiche weitere entsprechende Anwendungen innerhalb Facebooks ihr Unwesen treiben.

 

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.