Una nuova versione del worm di messaggistica istantanea (IM) Yimfoca blocca l'accesso a Facebook e chiede alla vittima di completare delle indagini prima di essere ammesso sul sito web. Secondo i ricercatori di Symantec, quando si cerca di aprire facebook.com in Internet Explorer, gli utenti infetti vengono accolti da un pop-up che recita: "Il tuo account è stato sospeso per indagini. Per rendere il vostro account attivo è necessario completarne una di queste".
Questo comportamento è molto simile a quello delle truffe comunemente viste sul sito di social networking negli ultimi mesi, tuttavia, è molto più aggressivo. Agli utenti sono dati tre minuti per compilare una delle indagini altrimenti avviene un blocco e non si potrà riprovare fino a quando il computer non viene riavviato. La maggior parte di queste indagini cercano di far sottoscrivere alle vittime servizi a sovrapprezzo sui loro telefoni cellulari. Questo viene fatto lasciando una opzione nascosta in una delle pagine.
Chiedere agli utenti di completare l'operazione in un certo periodo di tempo mette molta pressione su di loro e rende più probabile che non noteranno e non potranno verificare l'opzione di abbonamento appena visibile. "Le indagini sono provenienti da cpaleads.com, il cui video promozionale offre fino a 1 dollaro per ogni sondaggio completato, rendendo in pratica i cybercriminali, davvero ricchi" osserva Stephen Doherty, il ricercatore di Symantec Security che ha analizzato la minaccia.
 |
| http://www.symantec.com/ |
Agli utenti che non riescono a completare l'operazione, la prima volta, quando si tenta di accedere nuovamente facebook.com, verrà visualizzato un messaggio che dice "tu non hai accesso al tuo account perché non completi questa indagine". Il messaggio va via solo solo dopo il riavvio del computer, a quel punto si offre di completare nuovamente un sondaggio. Vale la pena notare che facebook.com rimane accessibile tramite altri browser come Mozilla Firefox o Google Chrome.
Questo worm si diffonde via spam multi-lingua ed è inviato tramite Google Talk, ICQ, MSN Messenger, Paltalk, Skype, Yahoo Messenger o Xfire. Infetta anche i drive USB. "Se si riceve un link inatteso da un contatto attraverso un messaggio immediato si può sempre rispondere con una domanda sul link per verificare che non si tratta della diffusione malware" consiglia l'esperto di Symantec Doherty.
 |
| http://www.symantec.com/ |
Il codice del worm, che viene rilevato come W32.Yimfoca.B, contiene una routine che controlla la posizione dell'utente e invia lo spam nella lingua appropriata. Se il risultato della scansione per rilevare la posizione non è codificato in un elenco di 44 paesi, il malware ricade nei messaggi in inglese, dove si può leggere “seen this? [link]” or “this is the funniest photo ever! [link].” ("visto questo? [Link] "o" questo è la foto più divertente che mai! [Link] ".
Oltre alla diffusione di spam attraverso Google Talk, ICQ, MSN Messenger, Paltalk, Skype, Xfire o Yahoo Messenger, il worm infetta anche rimovibili drive USB inseriti nel computer. Questi messaggi sono aggiornabili tramite un file di configurazione crittografato che gli esperti di Symantec sono riusciti a decifrare:
 |
| http://www.symantec.com/ |
"Quando W32.Yimfoca.B infetta queste unità, si nasconde in cartelle esistenti che si trovano sul disco rimovibile, settando gli attributi di 'sistema' e 'nascosto', e sostituendole con un nesso di collegamento a una copia del worm", scrive Symantec Stephen Doherty in un post. "L'icona di collegamento sarà quella di una cartella, per cui un utente può essere portato a credere che questa sia la cartella originale ", spiega il ricercatore.
Il malware si installa sotto Applicazioni dati come un file denominato jutched.exe, una leggera variazione del nome jusched.exe, l'aggiornamento di componenti Java legit scheduler. In realtà, Yimfoca.B crea anche una chiave di avvio in HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ chiamata "Java Update Manager". Ecco un frammento del codice di W32.Yimfoca.B:
 |
| http://www.symantec.com/ |
Il worm è utilizzato come piattaforma di distribuzione per altri tipi di malware, forse come parte di infezioni si sistemi a pagamento per l'installazione, così gli utenti che sono vittime di attacchi di ingegneria sociale IM, avranno probabilmente più malware sul loro computer. L'aspetto più interessante di questa minaccia è la componente di localizzazione, il che indica chiaramente un tentativo dal suo creatore di raggiungere il maggior numero di utenti possibile e aumentare il bacino di potenziali vittime.
Abbiamo anche visto la stessa tecnica utilizzata in Facebook e Twitter truffe all'inizio di quest'anno. Proprio il mese scorso, sono stati compromessi account di Facebook ed utilizzati per indirizzare gli utenti ad applet Java dannose. Noi consigliamo di prestare la massima attenzione quando si ricevono messaggi, anche da amici, e nel caso il sistema sia stato compromesso effettuare una scansione col programma Malwarebytes.
Nessun commento:
Posta un commento