I laboratori di McAfee hanno scoperto un’applicazione per Facebook pericolosa per la sicurezza degli utenti, con cui viene fatto installare un trojan in grado di rubare le password memorizzate sul sistema infettato. La possibilità di diffondersi tramite Facebook, dove gran parte degli utenti non presta la dovuta attenzione alla sicurezza del proprio sistema, lo rende decisamente efficace nel suo intento. Gli utenti non devono installare l’applicazione per non incappare nel pericolo: la pagina dell’app si presenta scritta in una lingua orientale e, una volta aggiunta al profilo, effettua automaticamente un redirect ad un sito malevolo, classificato ad alto rischio da McAfee, da cui viene eseguita un applet Java, spacciata per “Sun_Microsystems_Java_Security_Update_6“. L'unica indicazione di attività sospetta è il fatto che la firma digitale non può essere verificata da una fonte attendibile.
http://blogs.mcafee.com/ |
L'avvertenza inoltre richiede l'autorizzazione da parte dell'utente per eseguire l'applet. Questa tecnica di ingegneria sociale sta diventando comune in siti pericolosi, ma ricevere soltanto l'avviso che la firma dell'editore non può essere verificata, non mette in luce le implicazioni di rischio, consentendo di eseguire le applet. Solo quando l'utente fa clic su "Ulteriori informazioni" si può leggere l'avviso che spiega che non saranno applicate "le restrizioni di sicurezza normalmente fornite da Java". Java è dotato di protezione che limita le applet Java il cui codice viene solitamente eseguito in browser web al di fuori della virtual machine, come scaricare ed eseguire un file EXE. In questo caso, quando l'utente fa clic su Esegui, il download di applet Java scarica un eseguibile arbitrario da un URL, lo salva e lo esegue come "NortonAV.exe" nella cartella del profilo utente locale.
http://blogs.mcafee.com/ |
Quando viene eseguito su Windows, questo potrebbe trovarsi nella cartella "C: \ Documents and Settings \ [nome utente]" (per Windows XP/2000) o "C: \ [username] Users \" (per Windows Vista / 7) folders. L’eseguibile altro non è che un password stealer che andrà alla ricerca delle password memorizzate nel sistema in uso, per poi inviarle ad un account gmail attraverso una connessione crittata SMTP/TLS. I siti che ospitano l'applet ed il carico utile sono classificati ad alto rischio da McAfee GTI Web Reputation. L'applet scarica il trojan viene rilevato come Generic PWS.tk! Dldr e Generic PWS.tk e verrà incluso rispettivamente nel Beta DAT, e nei 6.165 file DAT. Come avevamo riportato in un precedente post i cyber criminali stanno sfruttando le vulnerabilità di Java per distribuire malware su scala più ampia rispetto ai mesi passati ed in questo caso utilizzano il social network Facebook. Prestate dunque attenzione alle applicazioni che riportano a siti esterni e che promettono l'aggiornamento di Java Sun Microsystems.
Nessun commento:
Posta un commento