mercoledì 4 maggio 2011

Java Badware Facebook su pagine che promettono falsi video Bin Laden


Teniamo a precisare che non sta girando un vero e proprio virus su Facebook (nel più stretto significato del termine), si tratta semplicemente di codice javascript che gli utenti più sprovveduti copiano/incollano sulla barra degli indirizzi del proprio browser, secondo le istruzioni riportate in sedicenti pagine che promettono la visualizzazione d'un presunto video sulla morte di Bin Laden, in maniera tale da far eseguire delle azioni automatiche al profilo vittima, che invierà un messaggio in chat e post un link sulle bacheche dei propri contatti. Da qui la definizione di 'infezione', anche se capiamo che per molti il termine 'virus' possa rafforzare il significato di pericolo e dunque tenere più guardinghi gli iscritti al social network. Inoltre, abbiamo notato che proprio coloro che usano questo termine non spiegano (per mancanza di conoscenze tecniche specifiche o per pigrizia) come avviene il presunto 'contagio', dunque diminuendo sensibilmente la capacità di difendersi da questo tipo di attacco.


Diciamo altresì che anche gli utenti dovrebbero prestare maggior attenzione, senza per forza attendere questi avvisi, dato che le tecniche con cui avvengono questo tipo di infezione utilizzano sempre le medesime metodologie. Stiamo parlando, come già riportato all'inizio del post, dell'uso del javabadware cioè di javascript finalizzato all'esecuzione di procedure automatizzate sul proprio profilo Facebook. Una delle ultime pagine fraudolente che Protezione Account ha individuato (ma ne esistono a centinaia) s'intitola "registrazione morte Bin  Laden". Come abbiamo già ripetuto in altre occassioni, viene proposto all'utente un link "imperdibile":


Se clicchiamo sul link incluso nel post verremo rimandati ad una pagina interna al social network, dove verremo invitati ad eseguire delle procedure utilizzando i tasti CTRL+C e V per effettuare un copia/incolla del codice nascosto.


Tramite alcune istruzioni in javascript, residenti su server esterni, è possibile automatizzare alcune operazioni come se fossero eseguite direttamente dal vostro profilo: invio di messaggi in posta e chat, Like a pagine e applicazioni, aggiunta di tag ad amici, pubblicazione di post sulle proprie bacheche e su quelle degli amici, creazione di eventi, ecc. Attivando tali procedure, viene richiesto un periodo di attesa, durante il quale la pagina invia le informazioni al server da cui vengono eseguite le "istruzioni" automatiche a nome vostro, come se foste voi a farle dalla vostra tastiera. Il codice presente in questa pagina porta ad uno script maligno rilevato da Future Web Net come Troy_JB_Obfus_Osama.A. Questo file passa in rassegna tutti i contatti dell’utente inviando loro messaggi di chat e post.


Questo vuol dire che il link al video viene immediatamente postato sul suo profilo Facebook e fa da esca per gli altri iscritti a Facebook ignari della truffa. Il video è quindi oggetto di spam in messaggi di chat personalizzati dell’utente 'vittima'. Si tratta di ingegneria sociale, come nella maggior parte delle truffe che vengono diffuse su Facebook, grazie alla fondamentale ed attiva collaborazione degli utenti più curiosi. Gli javascript utilizzati sono codici reperibili liberamente in Rete: al malintenzionato basta sostituire l'indirizzo IP del server ed altri parametri per la truffa ed il gioco è fatto. Il sistema è sempre lo stesso, cambia solo il nome dello spam. Fino a quando Facebook non chiuderà questa falla nella piattaforma, vi inviatiamo a non esguire alcun codice javascript e a non cliccare su link ricevuti sulla bacheca del proprio profilo o in chat e di avvertire quanti più amici possibili.

3 commenti: