Browser-uafhængig orm spreder sig via Facebook

Sikkerhedseksperter advarer om en ny browser-uafhængig orm, der spreder sig via Facebook, og som er skabt ved hjælp af værktøjet Crossrider til udvikling af browser-udvidelser.

Artikel top billede

Computerworld News Service: Malware-udviklere har anvendt Crossrider, der er et framework til udvikling af udvidelser, der kan installeres på flere forskellige browsere, til at bygge en såkaldt kliksvindel-orm, der spreder sig via Facebook, advarer sikkerhedseksperter fra antivirusfirmaet Kaspersky Lab mandag.

Crossrider er et legitimt Javascript-framework, der implementerer en såkaldt unified API til udvikling af browserudvidelser, der fungerer til både Mozillas Firefox, Googles Chrome og Microsofts Internet Explorer.

Denne API gør det muligt for udviklere at skrive kode, der kan køres i forskellige browsere og derfor også på forskellige styresystemer. Frameworket er stadig i betatest og udviklerne bag har planer om at tilføje understøttelse af også Apples Safari.

Sjældent med browser-plugin

"Det er ret sjældent at analysere en skadelig fil, der er skrevet som et browser-plugin, der fungerer på tværs af platforme. Det er dog endnu mere sjældent, at man støder på plugins, der er skabt ved hjælp af engines, der fungerer på tværs af browsere," skriver malware-ekspert Sergey Golovanov fra Kaspersky Lab i et blogindlæg mandag.

Denne nye malware kaldes LilyJade og sælges på undergrundsfora for 1.000 dollar, hvilket er omkring 5.800 kroner i dagens kurs.

Udvikleren bag ormen hævder, at den kan inficere browsere, der kører på både Linux og Mac OS X og at ingen antivirusprogrammer designet til at opdage den, da den ikke indeholder nogen eksekverbare filer.

Malwarens formål ser ud til at være kliksvindel. Den er i stand til at efterligne annoncemoduler på Yahoo, YouTube, Bing/MSN, AOL, Google og Facebook, advarer Golovanov.

Hver gang en bruger klikker på en af disse falske annoncer, tjener ormens bagmænd penge via såkaldte affiliate-programmer.

Ormen spreder sig ved hjælp af sin kontrol over inficerede browsere, der betyder, at den kan udnytte aktive Facebook-sessioner til at sende spam, som ser ud til at komme fra de reelle Facebook-brugere.

Linkene i LilyJades Facebook-spam dirigerer brugere, der klikker på dem, over på kompromitterede websites, der indlæser exploit-kittet Nuclear Pack i en skjult iframe, forklarer Golovanov.

Angrebsværktøjer som Nuclear Pack forsøger at angribe kendte sårbarheder i forældet software - som regel browser-plugins såsom Java, Flash Player eller Adobe Reader - for på den måde at inficere computere med malware.

Det er ikke første gang, der er opdaget malware, der kører i browseren som en udvidelse, men denne tilgang ser ud til at vinde udbredelse blandt malware-udviklerne. I sidste uge advarede Wikimedia Foundation sine brugere om, at hvis man så kommercielle annoncer på Wikipedia, så var det sandsynligvis, fordi ens browser var inficeret med en skadelig udvidelse.

Orme, der spreder sig via sociale medier, bliver tilsyneladende også mere og mere udbredte. Fredag advarede Symantec om en ny variant af ormen W32.Wergimog, som spreder sig ved at sende spam på Facebook, Hi5, Hyves, Linkedin, MySpace, Omegle og Twitter.

Torsdag i sidste uge advarede Trend Micro om endnu en orm, der spreder sig via adskillige sociale medier og programmer til instant messaging.

Oversat af Thomas Bøndergaard

Læses lige nu

    Navnenyt fra it-Danmark

    Comsystem A/S har pr. 15. april 2026 ansat Iver Jakobsen som Technical Key Account Manager. Han skal især beskæftige sig med teknisk løsningssalg. Iver Jakobsen har 25 års erfaring fra TelCo-branchen. Han kommer fra en stilling som Key Account Manager hos E.ON Drive ApS. Han har tidligere beskæftiget sig med rådgivning og løsningssalg. Nyt job

    Iver Jakobsen

    Comsystem A/S

    Trafikstyrelsen har pr. 1. maj 2026 ansat Nihad Hodzic som IT og Digitaliseringschef. Han skal især beskæftige sig med med IT-projekter og digital transformation, herunder især det strategiske løft af Trafikstyrelsens digitale niveau. Han kommer fra en stilling som Kontorchef hos Udviklings og Forenklingsstyrelsen. Han er uddannet i statskundskab og har en lederuddannelse fra MIT Sloan, samt en igangværende Master i IT-Ledelse. Han har tidligere beskæftiget sig med IT-udvikling og større projekter på momsområdet, hvor han har ledet et projekt- og udviklingskontor. Nyt job

    Nihad Hodzic

    Trafikstyrelsen

    Renewtech ApS har pr. 1. april 2026 ansat Boris Sudar som Senior IT Specialist. Han skal især beskæftige sig med at sikre, at Renewtech cloudbaseret infrastruktur fortsætter på sit højeste niveau, mens han også skal drive system udvikling. Han kommer fra en stilling som Senior IT Specialist hos Eurowind Energy. Han har tidligere beskæftiget sig med Microsoft 365, Intune og sikker endepunktsstyring for hybrid og cloudbaseret infrastrukturer. Nyt job

    Boris Sudar

    Renewtech ApS