domenica 13 ottobre 2013

Malware Che Infetta Tramite Video e Tag Su Facebook

Due ricercatori italiani Danny di Stefano e Matt Hofmann hanno intercettato un malware che attacca Chrome, il browser di Google.
Un malware che sembrerebbe di provenienza turca dalle prime analisi.
Si installa nelle "estensioni" o plugin di Chrome, e quindi se avete un browser diverso come Firefox o Internet Explorer siete al sicuro.
Una volta installato, il malware prende possesso del vostro account Facebook e tagga tutti  i vostri amici, in post differenti, tutti invitandoli con smile o frasi a cliccare sullo stesso url malevolo.


COME AVVIENE IL CONTAGIO
Arriva una notifica di essere stati taggati su Facebook da un amico/a.
Apriamo il post, c'è un indirizzo e uno smile accanto.
Clicchiamo sull'indirizzo che porta a un sito esterno.
Una pagina apparentemente normale con al centro un video. Provando a cliccare sul video, si apre una finestra "per guardare il video installa l'estensione".
Se abbiamo installato il plugin su Chrome e abbiamo cercato di vedere il video siamo stati infettati.
In poco meno di 70 ore oltre 550.000 persone (ma i report parlano di una diffusione molto veloce) sono state indirizzate sul sito malevolo, anche se è impossibile sapere quante di loro sono state però infettate. Nonostante il malware sia stato segnalato a Facebook, i criminali stanno creando più indirizzi con lo stesso software malevolo, così da evitare di essere bloccati.
Numeri da capogiro, con un oltre 90% di visitatori provenienti da Facebook, che ancora una volta si dimostra la miglior strategia per far circolare velocemente ed infettare migliaia di persone. Il malware non sembra essere particolarmente avanzato tecnicamente ma è perfetto per infettare degli utenti non esperti. Tra le varie funzioni una in particolare lo rende difficile da rimuovere: se l'utente si accorge che il problema è stata l'estensione da lui installata per guardare il video e prova a rimuoverla dal pannello di Google Chrome; ma il malware riconosce l'azione e chiude il browser prima che l'utente possa cancellare il plugin malevolo.


MALWARE TURCO
Durante l'analisi i due ricercatori sono riusciti a ottenere delle informazioni anche sugli autori del sistema. La macchina utilizzata sembrerebbe essere un server in affitto da una grande società di servizi web, ma gli Ip degli autori riconducono alla Turchia.
A rafforzare questa tesi anche il codice del malware che contiene, tra le linee del codice, dei commenti in turco.
Potenzialmente il malware potrebbe andare oltre la diffusione via Facebook, sembra infatti avere delle funzionalità per intercettare account bancari e relative carte di credito.


RACCOMANDAZIONI
Attenzione quindi ai tag, ai link che riceviamo anche via chat. Se apriamo un indirizzo sospetto e ci viene chiesto di installare plugin o di scaricare software chiudiamo immediatamente la pagina anche se questa possa sembrare legittima. Dagli ultimi report delle maggiori case di sicurezza informatica, da anni gli "attacker" utilizzano tecniche che prevedono l'utilizzo dei social network e questa è la prova di quanto possa essere potente come strumento di diffusione.

Nessun commento:

Posta un commento