domenica 19 febbraio 2012

Keylogger da falsi messaggi Facebook con Silverlight rubano dati login


I ricercatori di Barracuda Labs hanno scoperto una serie di e-mail maligne che presumibilmente provengono da Facebook e recano un allegato disponibile solo se viene installato Microsoft Silverlight. "La maggior parte degli utenti di computer hanno una paura ossessiva che un malware possa trovare un modo per intrufolarsi nel loro PC senza accorgersene. La verità è che, mentre ciò talvolta avviene, i tipi più comuni di malware si basano su trucchetti per invadere e infettare il vostro computer. Un esempio eccellente di questo è caduto recentemenete nelle nostre trappole spam, che finge di essere da Facebook (una cosa facile, in realtà) ma che nasconde dietro il suo carico una grafica ufficiale di Microsoft", spiegano i ricercatori sul blog di sicurezza.


Il messaggio fasullo sostiene che le informazioni dell'account Facebook dell'utente "sono state cambiate", ma non fornisce altri dettagli, fatta eccezione per una grande immagine che sollecita il destinatario a installare Silverlight.


In questo caso l'immagine è un link HTML che presumibilmente offre Microsoft Silverlight. I ricercatori di Barracuda Labs hanno esaminato la destinazione di quel link ed hanno visto che il reale carico utile è un file .PIF proveniente da un indirizzo IP in Malesia. I file PIF sono file eseguibili di Windows, e in questo caso il file eseguibile che viene effettivamente inviato è il Trojan.Win32.Jorik. Cliccando sul grafico Silverlight si viene avvisati che si sta per eseguire un programma. Per questo motivo la grafica di Microsoft è un'aggiunta intelligente per l'inganno - si pensa che dovrebbe essere in esecuzione un programma di Microsoft, e che sta facendo esattamente quello che vi aspettate.


Poiché l'intero processo è simile a quello in cui viene scaricato ed installato il legittimo Silverlight, la vittima non può essere a conoscenza del fatto che in realtà lui / lei ha scaricato un keylogger che è stato progettato per rubare tutti i nomi utente e password utilizzati nelle pagine Web e applicazioni. Tutte le informazioni raccolte dal malware vengono memorizzate in un file su disco che viene inviato nuovamente al server di comando & controllo, probabilmente in Malesia. Il keylogger in grado di catturare quasi tutto ciò che fate sul Web. Questo è particolarmente preoccupante quando si visitano siti protetti e le cui credenziali dovrebbero restare private, come illustrato di seguito:




I ricercatori sono entrati con FakeUsername e FakePassword su tutti e tre i siti. I risultati sono stati facilmente reperibili nel file del keylogger che mantiene il disco.


In definitiva questo file su disco viene inviato a un server di comando e controllo, nascosto da no-ip.com e che molto probabilmente si trova in Malesia.


La linea di fondo, come consigliano sempre i ricercatori di Barracuda Labs, è quello di mantenere un sano scetticismo su tutto ciò che appare nelle e-mail. Il modo più semplice per installare malware sul vostro computer è quello di convincere a spingere quel pulsante 'run'. Gli spammer e i distributori di malware sono costantemente alla ricerca di modi per convincervi a fare proprio questo. State vigili, non siate una vittima. Prestate attenzione ai messaggi ricevuti in posta con falsi mittenti Facebook.

I clienti di Barracuda Networks che utilizzano il Barracuda Spam & Virus Firewall sono protetti da questi messaggi di posta elettronica. Barracuda Web Filters e il servizio Barracuda Web Security Flex fermano il download di questa minaccia. Su Facebook potete usare l'applicazione Profile Protector, che protegge gli account del social network da link pericolosi.

Nessun commento:

Posta un commento