![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Facebook-Nutzer werden durch eine neue Malware bedroht, die sich als Bild tarnt, aber \u00fcber den Nemucod-Downloader weitere Schadsoftware herunterl\u00e4dt.<\/p>\nFacebook-Nutzer werden durch eine neue Malware bedroht, die sich als Bild tarnt, aber \u00fcber den Nemucod-Downloader weitere Schadsoftware herunterl\u00e4dt.<\/p>\n
<\/p>\n
\u00dcber den Nemucod-Downloader hatte ich hier im Blog mehrfach berichtet. Es handelt sich um eine Malware, die weitere Schadsoftware nachl\u00e4dt, um Windows-Systeme zu infizieren. Bisher wurde die Malware \u00fcber E-Mails mit angeh\u00e4ngten ZIP-Dateien verbreitet (siehe Hinweise auf Blog-Beitr\u00e4ge am Artikelende).<\/p>\n
Nun scheint es einen neuen Verbreitungsweg \u00fcber Facebook zu geben, wie der bei PwC arbeitende Thread-Analyst Bart Blaze in diesem Blog-Beitrag<\/a> schreibt. Ein Freund von ihm berichtete \u00fcber seltsames beim Besuch seines Facebook-Profils. Es erschien bei der Anmeldung am Facebook-Konto eine Nachricht, die aus einer .svg-Datei bestand.<\/p>\n Bei .svg-Dateien handelt sich um ein auf XML basierendes Format zur Darstellung von Vektorgrafiken. In der XML-Datei l\u00e4sst sich aber alles M\u00f6gliche in den XML-Elementen ablegen. Im aktuellen Fall enthielt die herunterladbare .svg-Datei wohl JavaScript-Code, der verschleiert (obfuscated) war. Das JavaScript bewirkte eine Umleitung auf einen (kompromittierte) Webseite.<\/p>\n Und dort wird klar, wie die Leute zum Download des Schadcodes gebracht werden sollen. Die Webseite sieht wie die YouTube-Seite aus, ist aber eine F\u00e4lschung. Dem Benutzer wird dann auch sofort ein Popup angezeigt, dass er das Facebook-Video nur durch Installation einer Chrome-Erweiterung ansehen k\u00f6nne.<\/p>\n Wer diese Erweiterung herunterl\u00e4dt und installieren l\u00e4sst, f\u00e4ngt sich den Locky-Erpressungs-Trojaner ein. Zwischenzeitlich ist das Ganze auch von Sicherheitsspezialisten (einem Kollegen von Bart) best\u00e4tigt<\/a>.<\/p>\n Confirmed! #Locky<\/a> spreading on #Facebook through #Nemucod<\/a> camouflaged as .svg file. Bypasses FB file whitelist. https:\/\/t.co\/WYRE6BlXIF<\/a> pic.twitter.com\/jgKs29zcaG<\/a><\/p>\n \u2014 peterkruse (@peterkruse) 20. November 2016<\/a><\/p><\/blockquote>\n![\"Meldung\"](\"https:\/\/4.bp.blogspot.com\/-PjIJxnP6IOs\/WDIAb2x8tUI\/AAAAAAAABgY\/VznBMpxtjP0K3rLVbKEhoTiMM6nFKwGYQCLcB\/s320\/FB_Nemucod.png\" "\\"Meldung\\"")
(Quelle: Bart Blaze)<\/p>\n![\"Fake-Webseite\"](\"https:\/\/2.bp.blogspot.com\/-xcxxzE51oQw\/WDICfQH-kXI\/AAAAAAAABgo\/LeNeYUCVpSQh01wqACiBgPj2PPLSDyAiACLcB\/s1600\/Capture.PNG\" "\\"Fake-Webseite\\"")
<\/a>
\n(Quelle: Bart Blaze)<\/p>\n\n