Gli utenti di Facebook sono nuovamente nel centro del mirino degli spammer. Martedì scorso lunedì alcuni utenti hanno denunciato di essere stati oggetto dell'invio di messaggi diretti presumibilmente provenienti dal social network. In realtà non è proprio così. L'ultima minaccia, in questo senso, combina il classico spam con l’invito a visionare un tag in una foto. Diffidate, infatti, delle e-mail che affermano di provenire da Facebook, e dicono che siete stati taggati in una foto. Perché potreste essere voi la prossima vittima potenziale di un attacco malware. I SophosLabs hanno intercettato una campagna email di spamming-out, progettata per infettare i computer dei destinatari con del malware.
Ecco un esempio di come un e-mail spam tipica può apparire:
Ecco un esempio di come un e-mail spam tipica può apparire:
Subject: Christine McLain Gibbs tagged a photo of you on Facebook
From: Facebook [notification@faceboook.com]
{See Photo} {Go To Notifications}
Oggetto: Christine McLain Gibbs ha taggato una foto di te su Facebook
Da: Facebook [notification@faceboook.com]
{Guarda la foto} {Vai alla notifica}
Avrete notato la stranezza del mittente dell'e-mail, 'da' l'indirizzo sbaglia Facebook come "Faceboook" con tre "o". Se si fa clic sul link nell'e-mail, non si viene rimandati immediatamente al sito vero e proprio di Facebook. Invece, il browser viene portato in un sito Web che ospita alcuni script iFrame dannosi (che sfruttano il kit exploit Blackhole, e mette a rischio il computer ad infezione da malware).
Per meglio nasconderela truffa, entro quattro secondi il browser viene META reindirizzato ad una pagina Facebook presumibilmente di un ignaro utente. Graham Cluley, esperto ricercatore dei SophosLabs ha dichiarato che il malware rilevato è noto come Troj/JSRedir-HW. Il trojan script dannoso è un componente pericoloso nei siti web hackerati che sono stati rilevati nelle ultime settimane.
Troj/JSRedir-HW può dirottare il browser Web ed infettare il sistema attraverso pagine Web corrotte, allegati e-mail spam o attraverso programmi di scambio file peer-to-peer. Il malware è anche in grado di installare una backdoor che si connette a un indirizzo IP di una botnet conosciuta, aumentando ulteriormente le possibilità del sistema infetto di essere compromesso da una sorgente remota. Sembra che i produttori del software canaglia Troj/JSRedir-HW hanno molta esperienza per poter affrontare tutti i tipi di software di sicurezza.
Il trojan è costruito per sfuggire alla rilevazione in modo sorprendente anche se si ha installato un software antivirus. Questa infezione cambia le impostazioni del Registro di sistema e altri importanti file di sistema Windows. Se Troj/JSRedir-HW non viene rimosso può causare un crash completo del computer. Alcune infezioni Troj/JSRedir-HWcontengono keylogger che possono essere utilizzati per sottrarre dati sensibili come password, carta di credito, conto bancario, informazioni bancarie, ecc.
Quindi è molto importante rimuovere Troj/JSRedir-HW il più presto possibile prima che rubi le informazioni personali. Anche se non si nota il mittente "Faceboook" una possibilità, per gli utenti, è quella di passare il mouse sopra il link senza cliccare, per scoprire che l'indirizzo di destinazione non è quello di Facebook. Il kit di exploit Blackhole fu scoperto per la prima volta alla fine del 2010. Da allora è cresciuto fino a diventare uno dei kit exploit più noti mai visti.
In questo documento tecnico, "Esplorare il Blackhole Exploit Kit", Fraser Howard di SophosLabs solleva il coperchio Blackhole. Egli descrive in dettaglio come funziona e i vari file utilizzati per sfruttare le macchine ed infettarle con malware. Fraser descrive come il kit è diventato un tale successo, scoprendo e spiegando i trucchi usati da Blackhole. Da come il traffico web di un utente è controllato al modo in cui gli aggressori tentano di eludere il rilevamento, la carta offre una grande intuizione di come funziona Blackhole.
L'offuscamento del codice JavaScript che costituisce il trojan non è limitato esclusivamente alle pagine Web, esattamente le stesse tecniche possono essere utilizzate anche in modo dinamico per la costruzione di file PDF. In realtà, i file PDF forniscono opzioni addizionali su come il codice JavaScript puo 'interagire' con il file principale, forse ciò contribuisce a spiegare l'enorme volume dei file PDF Blackhole unici che i SopohosLabs hanno visto nel corso dell'anno passato.
Nessun commento:
Posta un commento