Kliknięcie przycisku Instaluj na tej stronie rozpocznie ściąganie szkodliwego pliku, FacebookChrome.crx identyfikowanego przez Trend Micro jako
TROJ FOOKBACE.A
. Po uruchomieniu, TROJ_FOOKBACE.A uruchamia skrypt, który wyświetla reklamy z określonych stron. Program instaluje się również na używanej przeglądarce jako rozszerzenie o nazwie Facebook Improvement | Facebook.com .
Po zainstalowaniu w przeglądarce złośliwe rozszerzenie rozpocznie śledzenie aktywności użytkowników w sieci i przekieruje ich na stronę z zapytaniem, która poprosi ich o numer telefonu komórkowego. Użytkownicy przeglądarki Internet Explorer (IE) zostaną przekierowani na stronę z zapytaniem zaraz po kliknięciu komunikatu na ścianie, bez proszenia o ściąganie jakiegokolwiek pliku.
Po głębszej analizie eksperci ds. zagrożeń z firmy Trend Micro doszli do wniosku, że atak jest znacznie skuteczniejszy w przypadku użytkowników przeglądarek Google Chrome lub Mozilla Firefox. Przypomina instalację zwykłego rozszerzenia, wymagając tym samym mniejszego stopnia interakcji niż w przypadku Internet Explorera (kiedy użytkownik zostaje przekierowany na stronę z zapytaniem).
Skuteczność ataku opiera się na udawaniu zwyczajnej wtyczki dla Chrome, można więc założyć, że to użytkownicy tej przeglądarki są główną grupą docelową oszustwa, a przekierowanie na IE jest raczej późniejszym dodatkiem. Natomiast pomimo obecności funkcji śledzenia aktywności w sieci, TROJ_FOOKBACE.A wydaje się nie być wyposażony w żadne narzędzia do kradzieży danych.
Wpasowuje się raczej w kategorię ataku typu “clickjacking”, doprowadzając do automatycznego “polubienia” kilku stron na Facebooku oraz automatycznego umieszczenia komunikatu na ścianie użytkownika.