martedì 3 maggio 2011

Bin Laden, attacchi malware javascript su Facebook e mail fraudolente


Dopo l'ultima truffa scoperta dai Kaspersky Lab, i cybercriminali continuano sfruttare l'innegabile ritorno mediatico, prodotto dalla notizia, relativa alla morte di Osama Bin Laden. Stavolta sono gli esperti di Trend Micro a segnalare, infatti, un'infezione attraverso chat che sta circolando sul social network. La catena dell'epidemia trova origine in un messaggio di chat proveniente da un amico, nel quale si legge 'Guarda il video dell'uccisione di Osama Bin Laden!', accompagnato da un link. 

Il messaggio inizia con il vero nome della vittima, fatto che contribuisce ad aumentarne la credibilità. Il link rimanda a una pagina che può sembrare nota a coloro che solitamente masticano questo genere di notizie, ma si tratta ancora una volta di un inganno. La pagina riporta una serie di istruzioni in base alle quali, per visualizzare il video in questione, l'ignaro utente viene invitato a incollare il 'codice video' direttamente nella barra di indirizzo del browser. 

Un tipo di richiesta che può apparire inusuale nel contesto di un post all'interno di un blog, ma se la richiesta proviene da messaggio di chat di un amico, fanno notare da Trend Micro, può succedere di cadere facilmente nel tranello. Il codice che l’utente ignaro incolla nella barra degli indirizzi è un JavaScript che richiama un secondo file JavaScript presente su un sito Web violato. Il codice che gli utenti sono stati invitati a copiare e incollare nella barra dell'indirizzo del loro browser Web in questo attacco ha portato a uno script rilevato come JS_OBFUS.AB, che collega i messaggi che portano alla pagina Facebook indicata sotto. Trend Micro ha anche visto link che conducono a pagine simili che vengono distribuiti attraverso Facebook Chat.

A differenza del precedente esempio, tuttavia, il messaggio di chat campione ha affermato di portare al "video dell'esecuzione". Il codice in questa stessa pagina porta ad uno script maligno già rilevato come JS_FBJACK.C. Questo secondo file passa in rassegna tutti i contatti dell’utente inviando loro messaggi di chat, creando un evento al quale tutti gli amici vengono invitati e continuando ad aggiornare lo status dell’utente, colpito su Facebook. Questo vuol dire che il link al video viene immediatamente postato sul suo profilo Facebook e fa da esca per gli altri iscritti a Facebook ignari della truffa. 

Il video è quindi oggetto di spam in messaggi di chat personalizzati e inviti a eventi indirizzati a tutti gli amici e conoscenti dell’utente 'vittima'. “Cosa possiamo imparare da tutto questo? Una lezione semplice a mio avviso - spiega Rik Ferguson, Director Security Research Communication EMEA -, ovvero che se riceviamo un link inatteso, anche da persone a noi note, verifichiamo con il mittente prima di cliccare. Non si può mai sapere, potreste far loro un favore e far loro sapere che sono stati ingannati. Inoltre, non copiate mai nulla che non sia un URL all'interno della barra di indirizzo del browser”. 

Facebook, tuttavia, non è l'unico mezzo usato dai criminali informatici, dato che Trend Micro si sono imbattuti in messaggi di spam che raccontano ai destinatari su un video che presumibilmente smentisce l'annuncio di Obama della morte di Bin Laden. L'URL incorporato nel messaggio di posta elettronica del campione è ora inaccessibile ma ci sono certamente in giro altre varianti dello stesso messaggio. Questi possono portare sia al download di malware o a siti di phishing.

3 commenti:

  1. ma in pratica, se uno è così svanito da copia-incollare il codice cosa succede?

    cioè, se ho un antivirus questo blocca o no il malware?

    sono quasi tentato da mettere Firefox in modalità protetta (Kaspersky Pure) e vedere cosa capita, ma ovviamente è solo una tentazione
    ;-)))

    RispondiElimina
  2. Gli antivirus e internet security non possono proteggere. Potresti usare l'add-on no-script per firefox

    RispondiElimina