lunedì 22 agosto 2011

Nuovo attacco malware in circolazione attraverso la chat Facebook


Un nuovo attacco malware in larga scala è stato intercettato dai ricercatori di sicurezza G Data, inizialmente del tipo malware localizzato e successivamente in diverse lingue, tra le quali l'inglese. L'attacco è attualmente in circolazione su Facebook e si diffonde tramite messaggi di chat che contengono un link per visualizzare una presunta immagine dove l'utente "vittima" dovrebbe essere rappresentato. I messaggi utilizzati per la diffusione sono del tipo: "bist du das? aaaaaahahahahaahahaha", oppure "Hey è la tua ex? lol [LINK] ed ancora "Omg sei così carina [LINK]". In inglese: "hey is this your ex?? lol [LINK]", oppure "omg you look so cute [LINK]”.  I link vengono appositamente camuffati da URL accorciati, in modo da non conoscere la destinazione. Molti utenti hanno dunque ricevuto messaggi simili tramite la funzionalità di chat di Facebook che appaiono come qualcosa del genere, rappresentato nella figura sottostante:


L'URL abbreviato varia, ma il risultato è stato lo stesso: cliccando sul link viene scaricato un file eseguibile che è nascoto in un file jpg. Nel caso l'utente non visualizzi l'estensione del file del download sul suo computer, l'icona del file visualizzata sarà simile a questa e si potrebbe credere che si tratti d'una normale immagine:



Con le estensioni di file abilitate, lo stesso file si presenta così:


Per un utilizzatore informato è possibile notare che qualcosa non va, perché l'icona visualizzata non corrisponde alla estensione. Ma l'utente meno esperto, ovviamente, vuole vedere la foto che ha appena scaricato e al quale è stata promessa come un'istantanea divertente. Questo è il momento di infezione: Cliccando su questa immagine, l'eseguibile lancia il downloader che scarica malware sul computer dell'utente vittima. Il file malware scaricato, viene memorizzato nella cartella % Windows% TEMP ed eseguito. Ma la vittima non si accorge di alcuna notifica sulle attività dannose. Invece, per ingannare l'utente una seconda volta, il malware mostra anche un falso allarme per rimanere credibile e "spiega" perché l'utente in realtà non vede l'immagine:


Così, la vittima pensa che l'immagine è difettosa e molto probabilmente getta il file nel cestino, "coprendo" inconsapevolmente tutte le tracce disponibili, mentre il malware che si è installato sta già lavorando in background. Il downloader del file iniziale, viene rilevato da G Data come Trojan.Generic.KD.315917. Alcuni di questi hosting sono già stati segnalati a Bitly.com come pericolosi:


Altri invece non hanno ancora alcun filtro e i prodotti G Data rilevano il downloader iniziale come Trojan.Generic.KD.320472. Questo file apre una connessione a un canale IRC e riceve gli URL per scaricarne altri due. Uno si chiama GoogleTool.exe (Trojan.Generic.KDV.320671) e il secondo si chiama killproc.exe. Entrambi i file sono attualmente ospitati su Rapidshare. Il GoogleTool.exe ottiene un file chiamato url.txt che contiene gli URL più recenti con le nuove "immagini". Inoltre, esso si aggancia ad Internet Explorer per carpire la lista amici dell'utente di Facebook e la usa per diffondere ulteriormente i messaggi di chat. In questo caso, il danno è limitato ad una diffusione di ulteriori immagini false, ma gli attaccanti saranno in grado di scaricare malware in qualsiasi momento. "La prossima volta, il malware potrebbe non solo agganciarsi in IE per ottenere la vostra lista di amici, ma per afferrare le credenziali di online banking! Quindi, è di vitale importanza che voi restiate vigili ed evitate di fare clic sui collegamenti in chat descritti", spiegano gli esperti di G Data sul loro blog. I cybercriminali utilizzano vari siti web compromessi legittimi per ospitare i file. Il malware può essere scaricato praticamente in un istante, da un Trojan bancario ad un keylogger, spyware, backdoor, ecc. E anche se i metodi per infettare un computer con l'invio di un downloader non sono una novità, l'impatto in un social network con più di 750 milioni di utenti attivi possono essere enormi. Quindi, attenzione e restate all'erta.

Immagine: Signspecialist

Nessun commento:

Posta un commento