giovedì 22 dicembre 2011

Nuovo metodo scam Facebook diffuso con plug-in malware browser


In queste ore è attiva su Facebook una truffa relativa alla presunta visualizzazione di un video nel quale si vedrebbe Marika Fruscio con un seno scoperto e che viene poi inviata sulla bakeka a tutti i contatti dell'utente che è caduto nello scam. Qualche utente lamenta il problema nonostante abbia eliminato tutte le applicazioni dal proprio profilo. Fino ad ora gli scammer per questa tipologia di truffe hanno sfruttato il noto metodo del clickjacking, adesso invece hanno sviluppato un nuovo approccio per loro la diffusione su Facebook. Invece di usare, per esempio, gli aggiornamenti di stato come un richiamo, l'ultima generazione di truffa Facebook tenta di ingannare l'utente con l'installazione di estensioni maligne sul browser. I plug-in sono presumibilmente necessari per visualizzare inesistente video clip apparentemente inviato da una vittima in precedenza.


Infatti, Websense ® ThreatSeeker ® Network ha recentemente individuato alcune truffe su Facebook che ora utilizzano la potenza delle estensioni del browser per diffondersi sui profili di altri utenti. Le truffe tipicamente utilizzano pagine di trucchi di social engineering - come la diffusione di video seducenti o le offerte per un buono gratuito. "Ora per di più, abbiamo scoperto che alle vittime viene anche chiesto di installare un plugin per il browser. Il plugin è una parte integrante di come la truffa viene diffusa. Una volta installato, il plugin si collega a uno script che utilizza le API di Facebook e poi i messaggi della truffa alle pagine di amici della vittima", scrive Websense nel suo rapporto

Uno dei vantaggi di usare un plugin è la capacità di persistenza nel browser della vittima e la propagazione ad altri profili - che è simile alle app scam viste in precedenza su Facebook. Gli esperti di Websense hanno rilevato che vengono utilizzati plugin malevoli solo su Chrome e Firefox. Ecco come una pagina esempio di scam appare con Chrome e Firefox, rispettivamente:

Plug-in su Chrome

Plug-in su Firefox
Il codice verifica quale browser è installato e serve il plugin dannoso compatibile. I file del plugin Chrome terminano con un'estensione del file CRX e i plugin per Firefox dei file terminano con l'estensione del file XPI. I file dei plugin di Chrome e di Firefox sono in forma compressa. Guardando all'interno di questi plugin viene rivelato un codice maligno che carica uno script da altri siti. Questo codice è in definitiva caricato dal browser che si connette a Facebook. Il codice dei post a nome della vittima viene diffuso sulle pagine degli amici della vittima, che si traduce in una ulteriormente diffusione della truffa, spam, e possibilmente malware.


Per vedere il codice dietro il plug-in della truffa mostrata sopra, Websense ha diffuso delle immagini dopo aver decompresso il file zip che contiene le estensioni maligne:


Per risolvere il problema bisogna dunque rimuovere i plug-in malevoli installati nel browser. Per far ciò su Chrome andate sulla chiave inglese nell'angolo in alto a destra del browser. Cliccate su Opzioni e in corrispondenza dell'estensione sconosciuta cliccate su Rimuovi.


Se utilizzate Firefox cliccate su Firefox in alto a sinistra del browser e dal menu a discesa che si aprirà scegliete Componenti aggiuntivi e da Estensioni cliccate su Rimuovi per eliminare l'estensione malevola. Completate l'operazione riavviando Firefox.


Prestate sempre la massima attenzione ai post che vi vengono condivisi dagli amici e alle operazioni che vi vengono proposte per la visualizzazione di presunti "filmati imperdibili". Per quanto queste offerte appaiono allettanti se, come in questo caso, vi viene chiesto di installare plug-in al fine di ottenere offerte o guardare un video, ricordare che potrebbe trattarsi di un trucco per diffondere truffe, spam e malware.

2 commenti:

  1. Aiutoooo... sono stata vittima del maledetto plugin "temarosa" di facebook e ora che ho un blog mi sta creando non pochi problemi , dal 6 giugno più o meno ho difficoltà a caricare il blog e mi si inceppa proprio su una dicitura TEMAROSAPLUGIN.INFO . L'ho tolto dalle estensioni come è suggerito sopra ma niente... il problema è che anche altri lettori del mio blog mi dicono di avere la stessa difficoltà ed io ho paura di perderli... attendo fiduciosa una tua risposta . grazie

    RispondiElimina
  2. Ciao Ilaria, avevo lo stesso problema con wordpress.
    Ho notato che non compare quando tutti i plugin sono disattivati. Li ho attivati uno alla volta e così ho scoperto quello che causava il problema. Ho controllato il codice del plugin e anche quello del suo contenuto sul sito. E alla fine ho trovato questo: script src="http://temarosaplugin.info/dfi823hs.js?0.872020660497303" (+ volte con codici finali diversi)
    se lo cancelli, tutto si mette a posto.
    Ciao janet

    RispondiElimina