lunedì 25 giugno 2012

Falso aggiornamento di Adobe Flash Player nasconde codice pericoloso


A pochi giorni dalla conferma di un problema che affliggeva l'ultima versione del plug-in Flash, Adobe ha annunciato di aver risolto il fastidioso bug dei crash continui denunciato da molti utilizzatori del browser Firefox di Mozilla su sistema operativo Windows. Le due società hanno lavorato insieme per individuare le fonti di questi problemi e sembra adesso che tutto sia stato risolto. E forse proprio per questo, nonchè per la sua popolarità, Adobe Flash Player è ancora un'applicazione che viene preferita dai criminali informatici per le campagne che coinvolgono i falsi aggiornamenti.

Il nuovo schema di attacco scoperto da esperti di Zscaler inizia con una pagina Web che comunica all'utente che è in esecuzione una versione non aggiornata di Flash e richiede un aggiornamento del plugin per guardare un video. Il falso aggiornamento fFlash è in realtà un eseguibile dannoso. Questo tipo di attacco è ancora in corso.


L'aggiornamento è in realtà una falsa estensione per i browser Web. A seconda del browser in esecuzione sul PC della vittima, viene presentato un file. XPI (Firefox), un file .CRX (Google Chrome), o un file .Exe (Internet Explorer). Una volta installata, queste estensioni permettono all'attaccante di accedere alla macchina infetta.


Tuttavia, questa non è la preoccupazione principale. Il problema è che la maggior parte delle soluzioni antivirus non sono in grado di rilevare le estensioni dannose perché sono essenzialmente file di testo. Mentre l'eseguibile è facilmente identificabile come una minaccia, l'.XPI e il .CRX non sono rilevati come pericolosi da alcuni motori AV secondo VirusTotal.


"Un altro aspetto degno di nota è il fatto che l'add-ons non contengono codice dannoso, piuttosto, quando il browser si avvia, l'add-on preleva il codice JavaScript dannoso da un server esterno e lo esegue", spiega Julien Sobrier, ricercatore di Zscaler. I file correnti non sono molto pericolosi, ma potrebbero cambiare in futuro.


Un iFrame invisibile viene inserito in ogni nuova pagina caricata. L'iFrame contiene pubblicità dal resultsz.com, e contiene un nome utente nell'URL. "Questo mi dice che l'autore adware prende soldi per il traffico inviato a questo sito, anche se l'utente infetto non può effettivamente vedere ciò che viene caricato", aggiunge Sobrier.


"L'autore potrebbe cambiare il file remoto in qualsiasi momento per fare molti più danni, come rubare i cookie per ottenere l'accesso agli account utente su qualsiasi sito, rubando username / credenziali di accesso o password precedentemente salvate, ecc.", conclude l'esperto. Il consiglio è dunque quello di prestare sempre attenzione ai siti che si visitano, ai link su Facebook o altri social network, e di effettuare qualsiasi aggiornamento dal sito ufficiale del produttore, in questo caso Adobe (http://get.adobe.com/it/flashplayer/), ricordando che Chrome include già Adobe Flash Player e che si aggiorna automaticamente quando è disponibile una nuova versione di Flash Player.

1 commento: