Falsa notifica email richiesta d'amicizia Facebook scarica il virus Zbot


Il team di sicurezza dei laboratori di Trend Micro si è recentemente imbattuto in un'attacco di spam che porta al download ad una variante del virus Zbot che utilizza un dominio di generazione tecnico. Il percorso prevede spam messaggi che arrivano nelle caselle di posta degli utenti come notifiche di richieste di amicizia Facebook.

Il messaggio reca un link che l'utente deve cliccare per approvare la richiesta di amicizia. Facendo clic sul link detto, tuttavia, sarà solo portarto ad una pagina che informa gli utenti che hanno bisogno di installare l'ultima versione di Adobe Flash Player per poter procedere. Non sorprende che il file scaricato non è l'installer di Adobe Flash Player ma un file malevolo rilevato da Trend Micro come http://TSPY_ZBOT.FAZ.


Un click offre il pulsante "Conferma richiesta di amicizia" ed indirizza il destinatario ad una falsa pagina di Facebook dicendo che la propria versione di Macromedia Flash Player è troppo vecchia e, per continuare offre un link per scaricare l'ultima versione del player, avverte Trend Micro.


Com'era prevedibile, il file offre un pezzo di malware - una variante di Zbot, per essere esatti. E se il destinatario non riesce a rendersi conto dell'assurdità che sta dietro ad una richiesta d'amicizia che pretende l'installazione della presunta ultima versione di Flash Player, finirà con il furto da parte del Trojan delle informazioni sul ​​proprio sistema.


SPY_ZBOT.FAZ, come la maggior parte delle varianti di Zbot, accede a un determinato sito al fine di recuperare un file di configurazione. Detto file di configurazione contiene l'elenco degli URL che il malware controllerà al fine di rubare le credenziali correlate. Ciò che rende questa variante particolare degna di nota, tuttavia, è che viene impiegato un dominio generazione tecnico.

Ciò significa che, a differenza di altre varianti di Zbot che hanno già un preset per accedere all'URL per scaricare il file di configurazione, TSPY_ZBOT.FAZ genera in modo casuale gli URL per accedere tramite una funzione di randomizzazione che è calcolata in base alla data corrente del sistema. Gli utenti sono protetti da questa minaccia attraverso il Trend Micro ™ Smart Protection Network ™.

Nessun commento:

Posta un commento