Doctor Web — sviluppatore russo dei software per la sicurezza informatica — avverte di una nuova onda di malware che invade Facebook. Questa volta i malintenzionati si avvalgono di un’applicazione incorporata tramite la quale si può mettere un codice HTML arbitrario sulle pagine di Facebook. Nei gruppi fraudolenti, i malintenzionati pubblicano, sotto forma di filmati, collegamenti all’applicazione malevola.Allo scopo di diffondere i programmi malevoli, i cybercriminali hanno creato su Facebook molti gruppi tematici, chiamati Videos Mega o Mega Videos: il 5 febbraio 2013 ve ne erano alcune centinaia. In ciascun gruppo, i malintenzionati hanno collocato un collegamento, mascherato da un filmato, che conduce a un’applicazione di Facebook progettata per assimilare un codice HTML arbitrario in una pagina web. Se il visitatore del gruppo clicca sull’immagine diminuita del filmato, si attiva lo scenario predisposto dai malintenzionati. Come risposta all’azione dell’utente, si apre una finestra di dialogo con la proposta di aggiornare il lettore video incorporato nel browser. L’aspetto della finestra fraudolenta imita quello delle pagine di Facebook.
Se l’utente acconsente a installare l’aggiornamento, sul suo computer si scarica un archivio autoestraente che contiene il programma malevolo
Trojan.DownLoader8.5385. Questo trojan (come pure gli altri componenti che esso scarica in seguito) ha una firma digitale legittima, rilasciata dalla società Comodo all’azienda Updates LTD, perciò le applicazioni malevoli non suscitano sospetti da parte del sistema operativo durante l’installazione.
Trojan.DownLoader8.5385 è un downloader tradizionale, il cui compito principale è scaricare e avviare sul computer compromesso altri programmi malevoli. In questo caso, il trojan scarica estensioni per i browser Google Chrome e Mozilla Firefox, progettate per inviare in massa inviti ad aderire a diversi gruppi su Facebook e per attivare automaticamente l’opzione “Mi piace” sulle pagine del social network. Tra le altre funzioni, queste estensioni malevole possono:
- ottenere informazioni degli utenti inseriti nell’elenco amici Facebook della vittima;
- attivare “Mi piace” sulle pagine di Facebook o ai collegamenti esterni;
- aprire l’accesso a un album fotografico sulla pagina target;
- aderire ai gruppi;
- spedire agli utenti dall’elenco amici inviti ad aderire a un gruppo;
- pubblicare collegamenti in bacheca;
- cambiare status;
- aprire finestre di chat;
- seguire pagine di eventi;
- spedire inviti a eventi;
- pubblicare commenti su post;
- ricevere e inviare richieste.
Il file di configurazione contenente tutti i dati necessari per il funzionamento delle estensioni si scarica sul computer dal server dei malintenzionati. Secondo la classificazione applicata nel software Dr.Web, queste estensioni sono state chiamate
Trojan.Facebook.310.
Oltre a queste estensioni, il downloader
Trojan.DownLoader8.5385 installa sul computer compromesso il malware
BackDoor.IRC.Bot.2344, il quale può unire in botnet le postazioni infette. Questo malware realizza funzioni di backdoor e può eseguire comandi trasmessi per il protocollo IRC (Internet Relay Chat), un protocollo di scambio di messaggi testuali. Per ricevere comandi, il bot si collega a un canale di chat appositamente creato dai cybercriminali. Tra i comandi che possono essere eseguiti da
BackDoor.IRC.Bot.2344, possiamo segnalare i seguenti:
- eseguire comandi dell’interprete dei comandi CMD;
- scaricare un file da un URL prefissato e metterlo in una definita cartella locale;
- controllare se sia in esecuzione un processo indicato nel comando;
- trasferire al server remoto l’elenco dei processi in esecuzione, generato dall’utility di sistema tasklist.exe;
- fermare un processo determinato;
- avviare un’applicazione arbitraria;
- scaricare dall’URL determinato e installare l’estensione per Google Chrome.
Pertanto, possiamo concludere che la corrente policy di sicurezza di Facebook relativa alle applicazioni incorporate facilita la diffusione dei cavalli di troia. Tutti i programmi malevoli sopraindicati sono stati aggiunti alle basi di dati delle firme antivirali, quindi il software Dr.Web è in grado di proteggere in modo sicuro i computer dei nostri utenti. Doctor Web consiglia di essere prudenti visitando gruppi su Facebook e di installare sul computer solo gli aggiornamenti scaricati da fonti attendibili.
Fonte:
http://www.freedrweb.com/show/?i=3286&c=19&lng=it
