Nuovo trojan Oficla nelle e-mail con oggetto: "La tua password di Facebook è stata cambiata"

Una nuova ondata di e-mail nocive distribuisce una variante del trojan Oficla attraverso allegati ZIP, mascherata come notifica di modifica della password di Facebook, come conferma il recente aggiornamento di Facebook Security (la pagina di Facebook dedicata alla sicurezza sul social network): "We've received reports of a new malware campaign using emails made to look like they're from Facebook. Scammers sometimes pose as friends or popular websites in order to trick people into installing malware or providing personal information. Stay vigilant, and remember that Facebook won't send you emails with attachments. If an email looks suspicious, delete it and warn your friends". Che tradotto: "Abbiamo ricevuto segnalazioni di una campagna di nuovi malware tramite e-mail impostate in modo simili alle originali provenienti da Facebook. I truffatori a volte si presentano come amici o siti web popolari, al fine di indurre le persone a installare malware o fornire informazioni personali. State vigili, e ricordate che Facebook non vi contatta con nessun tipo di allegato. Se una e-mail sembra sospetta, eliminatela e mettere in guardia i vostri amici".
Le false-mail recano come oggetto: "La vostra password di Facebook è stata cambiata" e sono dotate di un falso campo "Da", in modo da apparire come se provengono da un fantomatico indirizzo information@facebook.com. La mail spam contiene il seguente messaggio:

"Gentile utente di facebook,

A causa delle misure adottate per garantire sicurezza ai nostri clienti, la tua password è stata cambiata.
Potete trovare la nuova password nel documento allegato.

Grazie,
Il tuo Facebook."

o in inglese:

"Dear user of facebook,

Because of the measures taken to provide safety to our clients, your password has been changed.
You can find your new password in the attached document.

Thanks,
Your Facebook."

Secondo i ricercatori belgi di email spam della MX Security Lab, il file allegato si chiama Facebook_document.zip e contiene un file eseguibile con lo stesso nome.

Per garantire la sua permanenza, ogni volta che viene riavviato il computer, il Trojan aggiunge il valore Shell in [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon].

Il file ZIP allegato, contiene i 36 KB del file Facebook_document.exe. Il trojan è conosciuto come Win32/Oficla.II (NOD), Trojan.Win32.Oficla.lh (Kaspersky), Troj / Mdrop-CWY (Sophos), Win32: Trojan-gen (Avast).

Verranno creati i seguenti file:

% Temp% \ 1.tmp

% System% \ fvfj.sxo

La seguente chiave di registro viene creata:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ idid

La seguente chiave di registro viene modificata:

Shell = [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon]

Oficla di solito è attribuibile ad operazioni con pay-per-install (PPI), in cui altri criminali informatici pagano denaro agli autori del trojan per distribuire i loro malware e scareware. Pertanto, è molto probabile che le vittime che cadono in questo trucco di social engineering, eseguiranno il file "maligno" installando infezioni multiple sul proprio computer. Inoltre, vi è una notevole probabilità che gli utenti verranno bombardati con falsi avvisi di sicurezza che li inducono ad acquistare una licenza per un programma inutile. Fortunatamente, ad oggi, il tasso di rilevamento basato sulle firme antivirus per questa particolare variante di Oficla è piuttosto elevato, con 34 su 43 motori antivirus su VirusTotal, che lo individuano come dannoso. Come sempre, gli utenti sono invitati a mantenere i loro software di sicurezza aggiornati e trattare gli allegati e-mail con più cautela, anche quando sembrano provenire da fonti attendibili. Secondo un recente rapporto di Symantec, la produzione di spam le email contenenti allegati maligni via posta è aumentata di quattro volte durante il mese scorso. Le campagne di distribuzione di ZBot e Oficla sono i principali responsabili dell'aumento.

Via: http://news.softpedia.com/