Acestia primesc mesaje false prin care li se solicita resetarea parolei aferente propriului cont Facebook si se declanseaza download-uri ascunse de aplicatii malware periculoase.

Executabilul infectat este legat de botnetul Bredolab, botnet ce a fost asociat cu atacuri de furt al identitatii si campanii ample de spam.

Un exemplu de mesaj ce solicita resetarea parolei Facebook este prezentat in imaginea alaturata.

Conform Websense, adresa expeditorului este modificata astfel incat sa fie prezentata ca support@facebook.com, un artificiu folosit in mod frecvent pentru a convinge destinatarul ca mesajul in cauza este legitim si provine intr-adevar de la populara retea Facebook.

Mesajele din aceasta campanie prezinta un atasament .zip ce contine la randul sau un executabil. Acest .exe se conecteaza la 2 servere, declansand descarcarea unor alte fisiere infectate si asocierea la Bredolab botnet. Astfel atacatorii obtin control total asupra PC-ului infectat si pot continua transmiterea de mesaje prin intermediul sau. Unul dintre cele 2 servere este localizat in Olanda, in timp ce cel de-al doilea se afla in Kazahstan.