Qualche ora fa è stata individuata una campagna di diffusione del ransomware Locky via Facebook.
La campagna di diffusione…
La campagna di diffusione…
Alcuni profili face book sono stati violati: da questi viene inviato un messaggio via chat a profili Facebook amici. Il messaggio contiene un file immagine in formato .svg (il che indica che i filtri per le estensioni di Facebook sono stati bypassati).
Il file sgv
Il file sgv è diffuso in due versioni, una più pericolosa e una meno.
Nell’ultimo caso, il file sgv cela al suo interno del codice Javascript che, se eseguito nel browser, reindirizza l’utente verso un sito fake di Youtube. La pagina, al momento in cui si prova ad avviare il video, avvisa l’utente, con un pop up, della necessità di aggiungere una estensione a Google Chrome.
L’estensione in questione si chiama “One”.
Nell'altra variante il file .sgv contiene invece il trojan downloader Nemucod il quale, a sua volta, scarica il ransomware Locky sul pc della vittima.
L’estensione “One”
Si sa che è responsabile dell’invio dei messaggi via chat ai profili Facebook che risultino amici dell’account violato. Legge e modifica i dati dell’utente rispetto ai siti da esso visitati. Non è chiaro però se può scaricare altri malware sul pc.
Il consiglio è, nel caso in cui abbiate installato questo plugin, di rimuoverlo immediatamente dalle estensioni di Google Chrome e di avviare gli amici su Facebook di non aprire assolutamente immagini allegate a messaggi inviati dal vostro profilo Facebook.
Nessun commento:
Posta un commento