Falso video su Facebook scarica malware e si sostituisce all'antivirus


L'azienda di sicurezza BitDefender avverte gli utenti di Facebook di prestare attenzione ad un nuovo virus di tipo Trojan, che sta circolando in tutto il sito di social networking. Un video su Facebook viene utilizzato come vettore di infezione per un cavallo di Troia, il componente canaglia AV imita ad arte l'antivirus che avete installato sul vostro sistema e il downloader aggiunge il PC compromesso ad una rete di sistemi infetti che costantemente lo scambiano malware tra di loro. A quanto pare,  il cavallo di Troia chiamato Trojan.FakeAV.LVT fa credere che c'è un proprio filmato che è stato aggiunto su YouTube, ingannando gli ignari utenti mentre navigano su Facebook.


Il Trojan.FakeAV.LVT utilizza l'ingegneria sociale ad un livello completamente nuovo. Lo scenario è estremamente complesso ed efficace: immaginate un amico che inizia una conversazione con voi in una finestra di chat di Facebook. Il dialogo sembra un po rigido e ben presto si è presi in giro con domande del tipo: "Ciao. Come stai?", "E' tuo il video?" o "Vuoi vedere?" Che introducono un link ad un film presumibilmente interpretato da voi e,  in ciò, non vi sarebbe nulla di nuovo in quanto abbiamo già visto truffe del genere, ma i "succosi dettagli devono ancora arrivare", come scrivono gli esperti di MalwareCity sul loro blog dedicato alla sicurezza. 

Se gli utenti cliccano sul link, prima di tutto, viene mostrata una pagina di Youtube con un film che menziona il vostro nome nel titolo, tra l'altro scritto correttamente, in quanto è preso direttamente dal vostro profilo di Facebook. A questo punto, il video probabilmente guadagnerà la vostra piena fiducia. Infatti, il file sembra del tutto convincente in quanto ci sono diversi commenti dei vostri amici di Facebook che emergono dalla pagina su cui risiede, aggiungendo così un ulteriore enorme vantaggio a questa truffa ben articolata, anche se in realtà il video viene deriso.


Successivamente, se il tentativo di vedere il film, il Trojan.FakeAV.LVT suggerisce di Scaricare Flash Player (edizione riveduta e aggiornata), che, tuttavia, contiene un software progettato per simulare diverse soluzioni di sicurezza. Questo dovrebbe suonare come un campanello d'allarme, ma dato che si tratta di un messaggio che avete visto un molte di volte sul sito web legittimo, si potrebbe nemmeno far caso. Il cosiddetto aggiornamento contiene anche rogue software antivirus ed è in grado di scaricare malware, funzionando come una backdoor di rete. Nel frattempo, il rogueware appare come 16 diversi tipi di software attualmente disponibili da fornitori di sicurezza. 

Invita poi la vittima a riavviare il computer, in modo che l'attuale anti-virus venga disinstallato, mentre il falso programma anti-virus prende il suo posto. Mentre si pensa a scaricare il falso aggiornamento Flash Player, si accoglie un Trojan sul ​​PC che scatenerà il caos sul vostro sistema. Il Trojan copia se stesso in %windir%\services32.exe e %windir%\update.X\svchost.exe, in cui l'aggiornamento è una directory nascosta e X è la versione del malware. Dopo di che, viena aggiunta una chiave di registro in %SYSTEM%. 

Poi si procede alla disattivazione di tutte le notifiche generate dal firewall, il modulo di aggiornamento antivirus e tutto ciò che trova installato sul PC, togliendo qualsiasi protezione che avete posto in essere. Il Trojan.FakeAV.LVT ha comunque una componente canaglia AV che è davvero innovativa. Sappiamo tutti che un falso antivirus inganna gli utenti inducendoli a scaricare le soluzioni di un prodotto, mostrando finestre pop-up allarmistiche, sostenendo che il PC è pieno di malware. L'approccio di questo software arriva ad un livello completamente nuovo. Si inizia con la visualizzazione di messaggi in finestre di avviso personalizzato, che sono sorprendentemente simili alla soluzione AV che si trova installata sul sistema.


Si tratta d'un software camaleonte che ha un kit di copione per tutti i più importanti prodotti antivirus sul mercato (Kaspersky in questo caso, ndr.). Arriva fino al punto di determinare il funzionamento dell'AV installato sulla macchina e la lingua dell'interfaccia selezionata da voi. Verranno poi utilizzate le didascalie, le icone e i messaggi coerenti con le impostazioni personalizzate del software AV installato. Il Trojan possiede anche un componente downloader che recupera i file da diversi URL a seconda del sistema operativo del sistema infetto. I sistemi che eseguono Windows Vista, per esempio, scaricano i file da una posizione diversa rispetto a quelli in esecuzione su XP. 

Il file scaricato contiene un elenco di indirizzi IP salvato come %windir%\front_ip_list.txt. Il malware contiene pure un elenco di indirizzi IP di altri sistemi infetti, che saranno utilizzati per lo scambio di minacce tra loro, creando un vero e proprio sistema di distribuzione di malware con funzionalità di aggiornamento peer-to-peer. Queste liste IP sono cambiate regolarmente e così i sistemi infetti sono sempre in contatto e in costante scambio di codice dannoso. La conclusione a cui arrivano gli esperti di BitDefender è che i cyber criminali hanno dato una nuova dimensione alle loro operazioni. 

Queste operazioni attentamente pianificate vanno a caccia dell'utente di Facebook, riferendosi ad un popolare sito di video-sharing, dove tutti i propri amici stanno ridendo di un clip interpretato da loro stessi, poi forzatamente viene chiesto loro di scaricare un Trojan. Dopo di che, il Trojan garantisce che l'utente viene completamente spogliato della propria soluzione di sicurezza, in modo che il malware prenda il controllo completo del sistema fortemente compromesso. "Cosa succede poi supera ogni ragionevole pensiero: il computer è utilizzato dal cyber criminali per una vasta gamma di scopi che sono costantemente ampliati attraverso l'utilizzo di dannosi plug-in. Tutto questo accade mentre si pensa che si è completamente al sicuro e che nulla vi possa accadere", concludono gli esperti. Fonte: Malwarecity | Foto:  Rangomovie/Malwarecity | Analisi Virus:  BitDefender

Nessun commento:

Posta un commento