sabato 16 aprile 2011

Malware installa applicazione rogue su account Facebook compromessi

Un nuovo tipo di malware distribuito da Sality utilizza le credenziali rubate di Facebook per installare delle applicazioni rogue surrettiziamente sul profilo corrispondente. Sality è uno dei malware più diffusi al mondo la cui diffusione virale risale al 2003. La minaccia si è evoluta negli anni e la distribuzione avviene con l'auto-propagazione attraverso le reti di P2P.

Secondo i ricercatori di sicurezza di Symantec, all'inizio di questo anno, gli operatori Sality hanno diffuso un componente maligno attraverso la sua rete botnet P2P che ha agito come un keylogger e registrato le credenziali di login a Facebook, Blogger e MySpace. Il trojan ha inviato le credenziali rubate ad un server comando e controllo (C & C), ma li ha anche memorizzati localmente in un file crittografato con grande sorpresa dei ricercatori di sicurezza. Ciò è stato confermato lo scorso fine settimana. Il pacchetto più recente di Sality conteneva un nuovo malware. Le ricerche di malware per i file cifrati contengono sia le credenziali di Facebook o Blogger (Myspace è lasciato da parte). Se tali file sono presenti e contengono le credenziali, il malware si connette quindi ad un server C & C (74.50.119.59, ospitato in Florida) per richiedere un "action script". Tali script sembrano programmi C e sono interpretati dal malware stesso. L'obiettivo principale è quello di automatizzare le azioni di Internet Explorer. Lunedi', 11 Aprile, quando lo script ha inviato le credenziali di Facebook sono stati trovati sulla macchina locale il seguente programma:


I nomi delle funzioni sono auto-esplicativi. Lo script, quando eseguito, esegue le seguenti azioni:
  • Crea una visibile istanza di Internet Explorer.
  • Passa a facebook.com.
  • Log in
  • Va alla pagina dell'app Facebook # 119084674184: questa applicazione, denominata VIP Slots, è in giro da alcuni anni.
  • Concede l'accesso a questa applicazione.
  • Chiude l'istanza del browser.


L'autorizzazione richieste dalla Slot VIP è solo "Informazioni generali", il che significa il vostro nome e il sesso, il profilo dell'immagine, le reti, e la lista di amici. L'applicazione di per sé non sembra mostrare un comportamento dannoso, ma il fatto che un programma dannoso interagisce con essa è molto preoccupante. L'obiettivo finale non è determinato in questa fase: la registrazione dell'utente potrebbe servire come spamming aggressivi (i messaggi che compaiono sulla vostra applicazione news feed), o un modo per ottenere da più utenti l'utilizzo dell'applicazione, allo scopo monetario (con l'acquisto di crediti virtuali). La domanda potrebbe anche essere semplicemente partita innocentemente. Inoltre un altro script è stato distribuito. Le azioni intraprese da questo script generico sono state le seguenti:
  • Creare un'istanza invisibile di Internet Explorer.
  • Va a google.com.
  • Ricerca di "offerte di assicurazione auto".
  • Chiude l'istanza del browser.
"Questo script potrebbe servire ai fini di sperimentazione. Potrebbe anche essere un modo molto contorto per misurare la propagazione della loro creazione: Google Trends segnala un recente picco per questo termine di ricerca.", scrive il ricercatore di Symantec Nicolas Fallier, "Ad oggi, sembra che la distribuzione del copione si sia fermata. Tuttavia, nuovi script potrebbero essere distribuiti in futuro, dato che il server C & C è ancora attivo e funzionante", avverte Fallier.


Le ultime definizioni di Symantec rilevano questo malware come Trojan.Gen. Gli utenti di Facebook possono vedere quali applicazioni sono attualmente sottoscritte, verificando la loro privacy e le impostazioni alla pagina Web delle Applicazioni. Chi desidera può bloccare l'applicazione in questione cliccando su questo link. Dato che in giro su Facebook si possono trovare miriadi di applicazioni rogue, è bene prestare attenzione alle autorizzazioni che ad esse vengono fornite. Prestare attenzione ai file che si scaricano sul PC e a quelli provenienti dalle reti Peer to Peer, che possono contenere trojan. Scaricate le ultime definizioni malware dei vostri programmi antivirus e tenete aggiornato il vostro sistema operativo. Inoltre consigliamo l'uso di browser di navigazione alternativi a Internet Explorer, soprattutto in relazione alla recente falla di sicurezza in Internet Explorer scoperta dalla società di sicurezza VUPEN.

Nessun commento:

Posta un commento