揭開！ Facebook 色情網站連結背後攻擊者

上星期報導過Facebook惡意軟件開始發動攻擊，更同時散播Windows和Mac的惡性軟件。雖然有些人將視線還是放在Mac的「Scareware」上，但這其實只是整個攻擊的某個部分。在這些攻擊背後，有一些假的「Adobe Flash Player」更新出現在Windows平台中。

根據 F-Secure 保安實驗室的分析師所說，這些「假更新」備有「ZeuS」機械人特性。故此認為這次襲擊，主要是要建立一個Windows 的機械人網絡(botnet)，而Mac OS的「scareware」只是那些不法份子的一個額外「bonus」(因為他們沒有把ZenS的源碼放進Mac OS)。

Facebook上一次用了超過24小時才攔截到惡意軟件產生的其中一個互聯網連結並刪除(newtubes.in，這是一個印度的域名，伺服器則位於Lithuania，並以「Narcisa Scott」之名義在泰國註冊)。

其實很多用戶都希望Facebook會刪去所有被用作散播病毒的垃圾軟件，但這個希望最後也落空。現在，這些攻擊者正在Facebook的個人Profile上，濫發色情網頁的互聯網連結。

我們在網站Openbook中搜尋「Free Tube Hub」，便看到出現在Facebook個人Profile的有關連結。這些以blackbootyblog.com、ebonyarea.com、justebonypussy.com和ebonykey.com等為域名的網站，都有相同的主題描述。而這些不同的域名裡面，實際上很多也是存放在同一個伺服器上。

該網頁伺服器似乎也是受到攻擊。有一個名為Watch的資料夾被加入到伺服器中，並加入了script，令進入伺服器的用戶會被自動轉移到另一個名為borntobefree.in的網站 (這是一個印度的域名，伺服器則位於Lithuania，並以「Andrew Farrell」之名義在泰國註冊)。

事情聽起來似乎有點熟悉，原來，色情網站只是一個煙幕，只是用來掩蓋真正的伺服器borntobefree.in來發動攻擊。不過，正如上星期於facebook上的惡意軟件攻擊，發動攻擊的伺服器會先分辨探訪者的IP地址是來自什麼地方，而這一次他們似乎主要針對美國和英國的用家。

暫時並沒有看到有證據顯示，這些連結是用來於Facebook裡面作「病毒性」散播。相反，這些連結只是通過電腦中的「機械人」直接貼到Facebook的個人Profile上。如果情況屬實，Facebook可能有一個難題：為了阻止這類型攻擊，他們將需要暫停受感染用戶的個人Profile。但問題是，Facebook又如何通知用戶是在哪部電腦受到感染呢？

正如上週所說，這是一個採用開發成熟的技術的一個很專業的攻擊，而且看來他們可以繼續一段時間。