Bredolab: il nuovo virus che sfrutta Facebook per ingannare gli utenti

Ci risiamo, i pirati informatici continuano la loro attività "illecita". In questo caso un nuovo virus sfrutta Facebook ed il password reset. Bredolab, questo il nome della nuova minaccia virale, si presenta a "nome" di Facebook per diffondersi rapidamente ed ingannare gli utenti meno accorti. In particolare il virus viene diffuso tramite una mail che ha come indirizzo del mittente Facebook e che invita a confermare il reset della password di login a Facebook (Password Reset Confirmation) e contiene in allegato il virus vero e proprio.

Una volta aperto, l'eseguibile provvederà ad infettare explorer.exe e svchost.exe di Microsoft Windows e sarà quindi capace di bypassare il firewall del sistema operativo per connettersi ad Internet. Si tratta di una minaccia nota già da qualche mese, ma che solo in questi giorni si sta espandendo in rete a macchia d’olio, facendo registrare un volume di ben 350.000 messaggi intercettati. Il testo del messaggio è il seguente:

Gentile utente di facebook,

A causa delle misure adottate per garantire la sicurezza ai nostri clienti, la tua password è stata cambiata.

Potete trovare la nuova password nel documento allegato.

Grazie,

Il tuo Facebook.

I suoi programmatori hanno previsto l’inclusione di un algoritmo in grado di aggirare i firewall, appoggiandosi ai processi di sistema svchost.exe and explorer.exe. Ovviamente, per far fronte al pericolo, è consigliato diffidare da qualsiasi comunicazione simile possa giungere nella casella email, anche se apparentemente reca la firma autentica del team di Facebook.

Soprattutto, eventuali allegati non vanno aperti. Ancora una volta, il grimaldello preferito dagli untori della rete per scardinare le difese informatiche delle vittime è la psicologia: si approfitta della fiducia che inevitabilmente tendiamo a porre nei messaggi che ci arrivano, almeno in apparenza, da mittenti "conosciuti". Se ricevete una mail del genere cancellatela subito, perchè Facebook non invia le password come allegato e tenete sempre aggiornato il vostro antivirus.

Il Trojan.Bredolab è un cavallo di Troia che scarica ed esegue file da Internet. Si può arrivare al computer tramite e-mail o un drive-by download. Il Trojan tenta anche di evitare il rilevamento utilizzando diverse tecniche di evasione. L'infezione Bredolab è stata osservata utilizzando i seguenti due metodi principali di distribuzione: Drive-by download ed Email. Un drive-by-download può verificarsi quando un utente visita un sito web che è stato attrezzata per contenere un exploit.

L'exploit causa di malware può essere scaricato sul computer dell'utente senza il suo consenso. Il metodo di distribuzione e-mail utilizza trucchi di social engineering per convincere l'utente ad aprire l'allegato in e-mail. Tutte le email sono realizzati in modo tale da apparire come legittime il più possibile al fine di ingannare l'utente. Come spiega Symantec, È anche comune per la minaccia di riutilizzare temi ma con lievi variazioni sul corpo del messaggio ed i nomi degli allegati.

Ad esempio, questi temi sono già stati osservati: Western Union soldi gratis, UPS consegna fallimenti, Shop.corsair.com spedizione conferme, Facebook cambia la password. La funzione principale di questa minaccia è quella di scaricare altro malware al computer infetto. È probabile che gli autori della minaccia sono associati con i regimi di affiliazione che tentano di generare denaro attraverso la distribuzione di malware. La minaccia può essere utilizzata anche per contribuire a costruire una rete di bot che possono essere venduti o noleggiati a scopo di lucro.