martedì 10 aprile 2012

Attacchi scam polimorfici hanno come destinazione gli utenti Facebook


Pubblicità dannosa su Facebook di solito porta gli utenti a indagini truffa, pezzi di malware, siti di phishing e altri tipi di programmi pericolosi da parte di criminali informatici. Tuttavia, gli esperti di Bitdefender si sono imbattuti in un attacco "polimorfico" che potrebbe finire in uno di questi scenari. Un complesso attacco promette video di sesso trapelato, offre payload morphed attraverso le estensioni del browser avvelenate (pluginjacking).

La truffa su Facebook travestita da un invito a visualizzare un video di sesso permette ai cybercriminali di infettare gli utenti con il malware in un ambiente altamente efficiente che potrebbe finire in frode bancaria, invasione della privacy, o di un'ondata di pubblicità porno illegale. La truffa inizia con un post Facebook, che dispone di un'anteprima seducente, il primo fotogramma del presunto sex tape.



Nel post si legge: "[Video] Leaked secret HOT S3X Videos Of His Beautiful Girlfriend! Lol Checkout this video its a very embarrassing moment for her". Agli utenti che cliccano sul link incluso in questo post viene detto che devono installare un plugin Divx per vedere effettivamente il video.


La pagina raccomanda agli utenti di installare il plugin mancante e dispone di vari altri elementi per incoraggiare gli utenti a continuare a fare clic:
  1. Il nome del video suggerisce che il sex tape appartiene ad una celebrità.
  2. L'avviso che l'antivirus dell'utente deve essere disabilitato opera sulla psicologia inversa: se i potenziali utenti vengono avvisati che questo intervento è rischioso, lo fanno proprio perché sono stati avvisati di ciò.
  3. Il riferimento alle note ulteriori di verifica della maggiore età per vedere il video.
Un passo più dopo, il plugin Dixv si trasforma in un prolungamento del falso YouTube, una caratteristica comune delle recenti truffe sociali.


Una volta installata, l'estensione cambierà tutte le schede di nuova apertura a una pagina pubblicitaria di un servizio di chat per adulti. Questa complessa minaccia porta gli utenti verso la stessa destinazione presunta - il video sex - ma da un percorso diverso. Questa volta, l'elemento scaricabile è un lettore video premium chiamato 7picUploader.exe, che in realtà nasconde un pezzo di codice dannoso.

L'estensione consente anche al truffatore di rappresentare effettivamente l'utente (leggendo i cookie memorizzati su facebook.com), e pubblicizzare la truffa sulla pagina Facebook dell'account della vittima. Ciò si traduce in amici delle vittime che sono esposti e la vittima si soggetta ad altri possibili attacchi lanciati tramite il link postato sulla pagina.


"Questo è un tipo di truffa interessante e abbastanza complessa. Nel gergo della sicurezza dei dati, questo si qualificherebbe come un attacco polimorfico, che in pratica significa che il contenuto dannoso servito può essere modificato dagli hacker grazie alla estensione del browser installato. Se l'utente atterra sulla pagina chat per adulti, un altro può raggiungere il downloader del malware o anche un intera pagina web diversa istituita per il phishing", ha dichiarato Andrei Serbanoiu, analista programmatore di Bitdefender per le minacce online.


Il fatto che questa estensione sarà in grado di accedere ai dati degli utenti su tutti i siti web dovrebbe funzionare come un forte deterrente contro l'aggiunta al loro browser. Lo stesso dovrebbe accadere per recenti avvertimenti contro l'installazione di alcuni plugin o estensioni non autorizzate su Facebook (ad esempio il plug-in Facebook rosa). L'unica via d'uscita di questo ciclo di malware è disinstallare l'estensione difficile. 

Questo tipo di situazioni a rischio possono essere evitate utilizzando Safego, lo strumento anti-truffa gratuito di BitDefender per Facebook e Twitter o TrafficLight, uno strumento gratuito che fornisce Bitdefender per il browser che controlla le minacce web intrusive. Gli utenti sono invitati a non installare estensioni del browser che provengono da fonti non attendibili, e, più recentemente, anche quelli che provengono dalla legittima siti web possono risultare essere dannoso.

Nessun commento:

Posta un commento