黑客工具、調查詐騙瞄準 Facebook 用戶在監控我們的 Smart Protection Network™ 數據時，我們注意到來自網站http://{BLOCKED}bookhacking.com/FacebookHackerPro_Install.exe 的可疑文件。從域名來看，它表明它托管了社交網站Facebook的黑客工具。

我檢查後髮現，該文件據稱能夠獲取Facebook密碼。根據我們對安裝文件的分析，它的行爲類似於普通安裝程序，顯示最終用戶許可協議 (EULA)，並讓用戶選擇將程序保存在他們喜歡的文件夾中。安裝安裝文件會在用戶不知情的情況下將噁意文件“Toolbar.exe”放入用戶的臨時文件夾中。

安裝後，它會顯示一個窗口，要求用戶對目標 Facebook 帳戶的電子郵件地址或 Facebook ID 進行編碼：

facebook_hacking_tool_1

爲了顯得合法，該程序甚至會顯示一個窗口來表明請求正在進行中。 2-5 分鐘後，它會通知用戶已找到所需的密碼：

facebook_hackingtool_2

現在到了最有趣的部分：要獲取密碼，用戶必須購買産品密鑰，價格爲 29.99 美元。如果用戶選擇購買産品密鑰，他們將返回網站http://{BLOCKED}bookhacking.com/p/unlock。

購買後，用戶需要再次對電子郵件地址或 Facebook ID 進行編碼。由於已提供密鑰，因此程序現在顯示以下內容：

facebook_hackingtool_3

但該程序是如何獲得這些信息的呢？很簡單：該程序下載並使用了一個免費的第三方應用程序，該應用程序旨在恢複並顯示用戶本地瀏覽器緩存中保存的密碼。因此，隻有繫統中存儲了密碼的用戶才能檢索憑証。上述第三方應用程序是一個合法的密碼恢複應用程序，但在這次攻擊中被噁意使用。

如果黑客工具無法下載第三方應用程序，程序將顯示以下錯誤提示：

facebook_hackingtool_4

趨勢科技檢測出該噁意程序爲SPYW_FAKEHACK，而釋放的文件“Toolbar.exe”爲ADW_PLUGIN。我的同事 Sarah Calaunan 還髮現了另一個針對Facebook 的黑客工具，在下麵的網站上兜售：

facebook_hackingtool_5

一旦用戶下載並運行該工具（檢測爲TROJ_DROPPER.ZGD），它就會釋放噁意文件（檢測爲TROJ_VBINJECT.XG）。釋放的文件是一個鍵盤記錄器，它會鉤住某些 API，從受感染的繫統中竊取信息，並將竊取的信息髮送到特定的 URL。

一些互聯網用戶可能會被引誘下載這些工具，因爲它們承諾在未經用戶同意的情況下獲取某人的Facebook密碼。幸運的是，下載這些黑客工具的用戶不會獲得實際密碼，而是獲得不同的密碼，最終爲虛假服務付費。

Facebook 上的調查詐騙利用了 SOPA

我們還注意到 Facebook 上有幾個可疑的牆貼，它們利用了備受爭議的《禁止網絡盜版法案》（SOPA）。點擊這些牆貼上的鏈接的用戶將被引導至另一個網站：

facebook_scampage_sopa

按照説明操作的用戶會被重定向到多個頁麵，最終會進入調查詐騙頁麵。這種攻擊是普通的點擊劫持攻擊，會將用戶引向調查詐騙，受影響的用戶會向他們的 Facebook 聯繫人髮送相同的噁意牆貼。要了解有關點擊劫持攻擊的更多信息，您可以參考我們的威脅百科全書文章“點擊前請三思：Facebook 點擊劫持背後的真相”。

Trend Micro 通過Smart Network Protection™保護用戶免受此類威脅，該功能可阻止用戶訪問托管這些黑客工具和調查詐騙的網站。它還可以檢測並從繫統中刪除相關噁意軟件。由於擁有9.01 億用戶，Facebook 是網絡犯罪活動的天然目標。要了解如何保護自己免受這些威脅的更多信息，您可以閱讀我們全麵的數字生活電子指南“社交媒體威脅指南”。