giovedì 11 ottobre 2012

Worm su Skype blocca il PC e ruba dati di accesso a Facebook e Twitter


Skype, la nota piattaforma di comunicazione VoIP su Internet, viene utilizzata dagli hacker per distribuire un "worm" che infetta i PC Windows. I ricercatori di sicurezza hanno rilevato una nuova campagna di malware che tenta di infettare gli utenti Skype, inviando loro dei link fraudolenti ai contatti nella loro rubrica. L'attacco di social-engineering, che è stato in primo luogo segnalato Venerdì, da GFI Labs, tenta di installare una variante del worm Win32/Dorkbot che prima minacciava gli utenti di Facebook e Twitter. Dorkbot è stata scoperta la prima volta nel 2011 e viene utilizzata principalmente per rubare informazioni, permettendo agli aggressori di mettere le mani sulle credenziali di vari social.

Quando gli utenti fanno clic su un messaggio istantaneo che recita "lol is this your new profile pic?" ("lol è la nuova foto del tuo profilo?"), inconsapevolmente scaricano un file che contiene un cavallo di Troia. Il file che viene offerto è più comunemente noto come "skype_02102012_image.exe". L'esecuzione del file provoca la sua eliminazione e il PC infetto cominciare ad effettuare richieste DNS a una serie di URL, tra cui .PL.COM e .KZ. Una funzionalità di Skype, permette d'accettare in maniera automatica i file inviati dai propri contatti.

Rik Ferguson, ricercatore di Trend Micro ha riportato in seguito che, dopo l'installazione del malware, il PC dell'utente viene bloccato e viene mostrata una schermata dove si dice che i loro dati saranno cancellati, a meno di pagare 200 dollari entro le successive 48 ore. I messaggi, in questo caso sono anche in tedesco: "Moin, kaum zu glauben era für schöne fotos von dir auf deinem Profil". Indipendentemente dal linguaggio utilizzato, il collegamento è lo stesso, anche se ovviamente questo può essere facilmente modificato.


L'URL accorciato presente nel messaggio reindirizza al download su hotfile.com chescarica un archivio denominato "Skype_todaysdate.zip" contenente un unico file eseguibile con lo stesso nome. Trend Micro ha rilevato questo primo downloader come TROJ_DLOADER.IF L'eseguibile installa una variante del worm Dorkbot, rilevato come WORM_DORKBOT.IF o WORM_DORKBOT.DN rispettivamente. Durante l'installazione, questo worm può avviare su larga scala attività click-fraud su ogni macchina compromessa, reclutandola in una botnet.

Queste varianti Dorkbot rubano anche le credenziali di nome utente e password per una vasta gamma di siti Web tra cui Facebook, Twitter, Google, PayPal, NetFlix e molti altri. Possono interferire nella risoluzione DNS, inserire iFrame in pagine Web, effettuare tre diversi tipi di attacco DDoS, agire come un server proxy e scaricare e installare altro malware al momento dell'iniziazione del botmaster. Queste sono solo alcune delle funzionalità di questo worm pernicioso e nelle 24 ore successive alla scoperta, Trend Micro ha bloccato più di 2.800 file associati.

Secondo un rapporto separato di Sophos, la campagna di malware sta "sfruttando le API di Skype per lo spam dei messaggi" insieme a un URL maligno. Cliccando sui link sospetti si viene portati al download di un file ZIP (variamente chiamato "skype_06102012_image.zip" o "skype_08102012_image.zip") che contiene i file eseguibili rilevati dai prodotti Sophos Anti-Virus come Troj/Agent-YCW o Troj/Agent-YDC. In fase di esecuzione, il malware si copia in % Profile%\Application Data\Jqfsfb.exe e imposta una voce di avvio automatico.

Il cavallo di Troia apre una backdoor, che consente a un hacker di prendere il controllo remoto dei PC infetti, e la comunicazione con un server remoto via HTTP. Ci sono state molte varianti dell'attacco Dorkbot avvistate nell'ultimo anno, che si sono diffuse via Facebook e Twitter. La minaccia può diffondersi anche tramite chiavette USB, e vari protocolli di messaggistica istantanea. Secondo Sophos, gli utenti di Skype tendono a fidarsi maggiormente del loro network di contatti, rispetto a quanto accade su Facebook.


A metà del 2011 anche gli utenti Mac OS X sono stati colpiti da un worm che permetteva a un utente malintenzionato di ottenere l'accesso illimitato del sistema con l'invio di un allegato appositamente manipolato in un messaggio immediato. Gli esperti di Purehacking avevano deciso di approfondire l'indagine e avevano scoperto che i client Windows e Linux non erano vulnerabili. Era solo il client Mac skype che sembrava essere colpito. In seguito alla segnalazione i tecnici di Skype aggiornarono il client per tappare la falla che portava ad un pericoloso exploit.

Skype ha detto in una dichiarazione: "Abbiamo ricevuto segnalazioni di alcune attività dannose che hanno come target un piccolo numero di utenti Skype con un messaggio immediato e link che dice, 'lol is this your new profile pic?'. Questa attività è un altro esempio di una truffa Internet che mira gli utenti Skype e che cerca di indurre le persone a cliccare sul malware o contenuti dannosi. Skype prende l'esperienza utente molto sul serio, in particolare quando si tratta di sicurezza".

Skype è "consapevole di queste attività dannose e sta lavorando rapidamente per mitigarne l'impatto". La società consiglia l'aggiornamento alla versione più recente, l'applicazione di funzioni di protezione aggiornate sul computer, l'attivazione di un firewall e la disattivazione della ricezione automatica dei file dai contatti. Prestate in ogni caso attenzione ai messaggi che si ricevono con inclusi dei link apparentemente innocui. Microsoft spiega che varianti di Dorkbot possono dirottare il messaggio inviato e sostituirlo con un proprio messaggio che contiene il collegamento alla copia del worm. Dorkbot, la famiglia di malware che opera su una struttura botnet, è stata abbattuta da funzionari di Polizia polacchi che hanno lavorato insieme ai tecnici di Microsoft e ESET.

1 commento:

  1. NFL-Sunday-Ticket is devoted to transportation you the higher ways that of look patriots game live NFL on-line soccer games and there square measure several nice belongings you get with NFL Sunday price tag.

    RispondiElimina