Trusteer: malware Ice IX ruba account tramite falso controllo Facebook


E' chiaro che il pezzo di malware noto come Ice IXcugino stretto del famoso Trojan Zeus, risulta molto efficace quando si tratta di aiutare i truffatori informatici nel raccogliere dettagli bancari. All'inizio di quest'anno, una variante è stata vista rubare le informazioni relative agli account telefonici appartenenti alla vittima e con l'obiettivo di trasferire le chiamate dalla banca della vittima e indirizzarli ai telefoni controllati dall'utente malintenzionato.

Questa volta, i ricercatori Trusteer hanno scoperto una variante che cerca di ingannare gli utenti Facebook a rivelare i dati della carta di credito. Gli esperti Trusteer hanno individuato la nuova configurazione e hanno scoperto che gli sviluppatori del malware hanno fatto un video pubblicitario per promuovere il loro prodotto dannoso. Questo ultimo attacco utilizza una web injection che presenta una falsa pagina web nel browser della vittima.


La scheda richiede all'utente di fornire il proprio nome titolare della carta, numero della carta di credito o di debito, data di scadenza, CVV, indirizzo di fatturazione. Gli aggressori sostengono che le informazioni sono necessarie per verificare l'identità della vittima e poter continuare ad utilizzare il proprio profilo.

Inoltre tale verifica fornirebbe una protezione aggiuntiva all'account Facebook. Dopo che i dati sensibili vengono presentati, tutto viene inviato ad un'applicazione di messaggistica controllata dal truffatore, che gli consente di ottenere facilmente l'accesso all'account della vittima e, implicitamente, i suoi fondi.


Il video che spiega il sistema di attacco inizia con la pagina di accesso di Facebook ed il log-in del criminale nell'account Facebook. Successivamente, il video dimostra il pop up creato dal webinject che viene messo in vendita. Questo pop up presenta praticamente lo stesso messaggio utilizzato nella configurazione Ice IX che i ricercatori Trusteer hanno scoperto e analizzato.

L'unica differenza è la versione nelle richieste video di un numero di previdenza sociale e la data di nascita, in aggiunta alle informazioni menzionate in precedenza. Nel video, il criminale compila i campi. Infine, le informazioni immesse nel pop-up mostrano di essere consegnate all'applicazione di messaggistica del frodatore.  Di seguito un video della versione precedente del trojan Ice IX.



"Questo video illustra la raffinatezza senza soluzione di continuità che webinjects pre-costruiti sono prontamente disponibili per l'acquisto su Internet (vedere la truffa Facebook Rosa ndr). Viene inoltre illustrato come criminali commercializzano i loro prodotti malware. Soprattutto, questo attacco mette in evidenza come i truffatori stanno ramificando progetti fuori dal loro 'pane e burro' del settore online banking in applicazioni laterali con popolazioni di utenti molto più grandi", scrive Amit Klein di Trusteer.

"Attaccando Facebook e altri social network onnipresenti i truffatori possono attingere a un pool di vittime di massa. Essi possono anche utilizzare le informazioni raccolte dagli utenti di social network per perpetuare la frode su più fronti in cui l'online banking, retail, e anche di penetrare reti aziendali e governative", conclude Klein.


Trusteer ha contattato Facebook che ha fornito alcune informazioni sulle misure di sicurezza del proprio sito.  Per proteggersi contro tali operazioni ci sono alcune cose semplici che è necessario ricordare. Prima di tutto, non è mai Facebook a chiedere informazioni sulla carta di credito, numeri di previdenza sociale, o altri dati sensibili. Controllate sempre se vi trovate sulla pagina legittima verificando il nome del sito nella barra degli indirizzi del browser.

Infine, assicurarsi che il computer esegue l'aggiornamento della soluzione antivirus e segnalate eventuali contenuti sospetti su Facebook. Il social network rileva il malware attivo conosciuto sui dispositivi degli utenti per fornire agli stessi utenti un auto-risanamento dell'account, compresa la procedura di scansione e riparazione malware. Per auto-iscriversi a questo punto di controllo potete collegarvi alla pagina su Facebook on.fb.me/AVCheckpoint.

Nessun commento:

Posta un commento