sabato 10 luglio 2010

Nuova variante di Koobface: diffusione ancora attraverso la posta Facebook

La famigerata botnet Koobface consiste nell'invio di messaggi diretti (DMS) su Facebook. Questa notizia dovrebbe essere già familiare, in quanto questa tattica è stata precedentemente ed ampiamente discussa in questo articolo nello scorso mese di Marzo.

A dar la notizia dellanuova ondata di attacchi sono i laboratori di Trend Micro. Il gancio è in qualche modo simile ad un attacco ZBOT individuato nel mese di marzo.

Secondo gli analisti dei laboratori di Trend mIcro, questo nuovo attacco si diffonde inviando messaggi agli amici di un iscritto, del tipo «Come stai bene in questo nuovo video», che poi portano l'utente a una pagina web in cui gli si chiede di scaricare un aggiornamento del Flash player. Scaricando il software gli utenti sono automaticamente indirizzati a siti truffa quando utilizzano motori di ricerca come Google, Yahoo!, Msn, Live.com.

Il testo e link contenuto nel messaggio sono i seguenti:

«Someobdy uplaod a vdieo wtih you on utbue. you shuold see».

www.facebook.com/l/ae2d7CYBUtLFPs-LAKPMtRXKpBA;www.{BLOCKED}rotherz.ca./19mai/”


Questo sito "maligno" è in realtà ospitato su più indirizzi IP (da Facebook, gli utenti vengono indirizzati attraverso uno script di reindirizzamento a diversi indirizzi IP. Tutti hanno un carico utile comune, anche se la nuova variante di Koobface individuata come WORM_KOOBFACE.IC. (Lo script che reindirizza gli utenti colpiti da Koobface a varie pagine hostingviene rilevato come JS_REDIR.EB.)

Come molte varianti precedenti di Koobface, questo metodo viene utilizzato per scaricare malware sul sistema dell'utente. Almeno uno di questi è il cavallo di troia TROJ_JORIK.D che installato rimanda ad un web server.

Rik Ferguson di Trend Micro ha preso le contromisure per la ricerca di questi messaggi su Facebook. Il principale rivale di Facebook, MySpace, è stato oggetto di un attacco di una versione di Koobface l'ultima volta nel 2008, il virus è stato eliminato con una tecnologia speciale. Anche Facebook ha preso precauzioni e all'indirizzo http://www.facebook.com/security informa gli utenti su come eliminare i messaggi infetti e «pulire» eventualmente i loro pc. Ma i laboratori Trend Micro avvertono: chi sta dietro a Koobface non è intimidito, «lo sta rifinendo e aggiungendo nuove funzionalità».

Via: Trend Micro Labs

Tgas: Facebook Virus, Trojan, Botnet, Trend Micro

Nessun commento:

Posta un commento