Stormshield, download e streaming illegale: il gioco vale la candela?

Stormshield ha voluto illustrare tutti i rischi dietro alla pirateria audiovisiva. Lo streaming audiovisivo tramite siti illegali si sta diffondendo a rotta di collo in tutta Europa e l’Italia non fa eccezione. Al di là del mero aspetto legale, fruire di contenuti accessibili tramite pirateria audiovisiva è particolarmente rischioso per i singoli e per le aziende. La trasmissione dell’ultima stagione della serie TV cult Game of Thrones è stata per milioni di utenti in tutto il mondo motivo di ricorso allo streaming illegale. In termini di sicurezza informatica, i rischi della pirateria audiovisiva sono spesso sottovalutati. Chiudere le finestre pop-up o non scaricare applicazioni Adobe fasulle non rende immuni alle minacce.

Falso aggiornamento di Adobe Flash Player nasconde codice pericoloso

A pochi giorni dalla conferma di un problema che affliggeva l'ultima versione del plug-in Flash, Adobe ha annunciato di aver risolto il fastidioso bug dei crash continui denunciato da molti utilizzatori del browser Firefox di Mozilla su sistema operativo Windows. Le due società hanno lavorato insieme per individuare le fonti di questi problemi e sembra adesso che tutto sia stato risolto. E forse proprio per questo, nonchè per la sua popolarità, Adobe Flash Player è ancora un'applicazione che viene preferita dai criminali informatici per le campagne che coinvolgono i falsi aggiornamenti.

Il nuovo schema di attacco scoperto da esperti di Zscaler inizia con una pagina Web che comunica all'utente che è in esecuzione una versione non aggiornata di Flash e richiede un aggiornamento del plugin per guardare un video. Il falso aggiornamento fFlash è in realtà un eseguibile dannoso. Questo tipo di attacco è ancora in corso.

L'aggiornamento è in realtà una falsa estensione per i browser Web. A seconda del browser in esecuzione sul PC della vittima, viene presentato un file. XPI (Firefox), un file .CRX (Google Chrome), o un file .Exe (Internet Explorer). Una volta installata, queste estensioni permettono all'attaccante di accedere alla macchina infetta.

Tuttavia, questa non è la preoccupazione principale. Il problema è che la maggior parte delle soluzioni antivirus non sono in grado di rilevare le estensioni dannose perché sono essenzialmente file di testo. Mentre l'eseguibile è facilmente identificabile come una minaccia, l'.XPI e il .CRX non sono rilevati come pericolosi da alcuni motori AV secondo VirusTotal.

"Un altro aspetto degno di nota è il fatto che l'add-ons non contengono codice dannoso, piuttosto, quando il browser si avvia, l'add-on preleva il codice JavaScript dannoso da un server esterno e lo esegue", spiega Julien Sobrier, ricercatore di Zscaler. I file correnti non sono molto pericolosi, ma potrebbero cambiare in futuro.

Un iFrame invisibile viene inserito in ogni nuova pagina caricata. L'iFrame contiene pubblicità dal resultsz.com, e contiene un nome utente nell'URL. "Questo mi dice che l'autore adware prende soldi per il traffico inviato a questo sito, anche se l'utente infetto non può effettivamente vedere ciò che viene caricato", aggiunge Sobrier.

"L'autore potrebbe cambiare il file remoto in qualsiasi momento per fare molti più danni, come rubare i cookie per ottenere l'accesso agli account utente su qualsiasi sito, rubando username / credenziali di accesso o password precedentemente salvate, ecc.", conclude l'esperto. Il consiglio è dunque quello di prestare sempre attenzione ai siti che si visitano, ai link su Facebook o altri social network, e di effettuare qualsiasi aggiornamento dal sito ufficiale del produttore, in questo caso Adobe (http://get.adobe.com/it/flashplayer/), ricordando che Chrome include già Adobe Flash Player e che si aggiorna automaticamente quando è disponibile una nuova versione di Flash Player.

Falso avviso Facebook informa cancellazione account e scarica malware

Una nuova pericolosa truffa si sta diffondendo su Facebook. Avete ricevuto una e-mail che chiede di confermare la richiesta di cancellazione del vostro account? State in guardia. Gli esperti di Sophos sono stati contattati da un loro lettore dopo aver ricevuto una mail proveniente apparentemente da Facebook e che ha suscitato i suoi sospetti. Nella lettera si legge:

"Hi [email address] We are sending you this email to inform you that we have received an account cancellation request from you. Please follow the link below to confirm or cancel this request

Thanks,
The Facebook Team

To confirm or cancel this request, follow the link below:
click here"

"Ciao [indirizzo email]

Ti invio questa email per informarti che abbiamo ricevuto una richiesta di cancellazione dell'account da te. Segui il link qui sotto per confermare o annullare questa richiesta

Grazie,
Il team di Facebook

Per confermare o annullare questa richiesta, seguire il link qui sotto:
clicca qui"

Il lettore di Naked Security ha fatto bene a essere sospettoso. Il link infatti non punta a una pagina ufficiale di Facebook, ma ad un'applicazione di terze parti in esecuzione sulla piattaforma del social network. Naturalmente, questo significa che il link accede a un indirizzo facebook.com, ciò potrebbe ingannare coloro che sono poco cauti.

La prima cosa che si può incontrare se si clicca sul link è un messaggio che chiede se si desidera consentire l'esecuzione sul computer di un'applet Java sconosciuta. E sembra che la richiesta sia piuttosto insistente. Infatti, se si preme il pulsante "No grazie" si verrà continuamente "tormentati " per dar il consenso all'esecuione dell'applet Java.

"Viene utilizzato del social engineering abbastanza astuto dai truffatori che stanno dietro questo attacco malware. Sanno che la gente tiene molto ai propri account Facebook, e molti sarebbero sconvolti dal perdere l'accesso e le connessioni digitali che hanno costruito con gli amici e la famiglia", scrive Joanne Garvey, ricercatore di sicurezza di Sophos Labs.

La speranza dei criminali informatici è che le vittime accettino ciecamente ciò che il computer dice loro di fare, in modo da "risolvere" la richiesta di cancellazione dell'account. Se si da il consenso all'esecuzione dell'applet Java, verrà visualizzato un messaggio che informa che Adobe Flash deve essere aggiornato. Naturalmente, il codice che viene scaricato non è affatto un aggiornamento di Flash originale.

Invece, il programma aggiunge dei file nella cartella /WIN32, che hanno l'intenzione di permettere agli hacker remoti di spiare le vostre attività e prendere il controllo del vostro computer. I prodotti di sicurezza Sophos prodotti rilevano i malware e bloccano l'accesso al sito che ospita il codice pericoloso. Si tratta dei malware Mal/SpyEye-B e Troj/Agent-WHZ, che aprono una backdoor nel computer della vittima.

Kaspersky Lab, malware a marzo 2012: nel mirino anche utenti Facebook

A marzo gli esperti di Kaspersky Lab hanno individuato un attacco nocivo che utilizzava malware in grado di operare senza creare file sui sistemi infetti. Un’indagine condotta da Kaspersky Lab ha dimostrato che i siti web dei media russi che utilizzavano il sistema teaser AdFox nelle proprie pagine, infettavano involontariamente i propri visitatori. Durante il download del teaser, il browser dell'utente veniva segretamente reindirizzato verso un sito web nocivo contenente un exploit Java.

False anteprime video YouTube su Facebook scaricano pericoloso virus

Sono in corso nuove truffe su Facebook attraverso post che sembrerebbero anteprime di video YouTube. Come in truffe già viste nei mesi scorsi, quando si clicca non si aprirà il video ma si viene rimandati a siti esterni che nulla hanno a che vedere col famoso sito di condivisone video. In particolare, il falso video che sta girando in queste ore sulle bacheche degli utenti e da noi analizzato mostrerebbe Angelina Jolie mentre fa sesso in un hotel. I post recitano testualmente: "[Video]Angelina Jolie getting ****** in hotel!! [LINK] ‎[Video] Looking for Celebrities we stumble on tapes, top pics, nipple slips, upskirts, cameltoes, paparazzi oops, see-throughs. All celebrity tapes". La tecnica utilizzata è quella del pluginjacking, per diffondersi in maniera virale tra gli utenti di Facebook e avere il controllo del browser di navigazione.

Se clicchiamo sul link veniamo rimandati ad un sito che riproduce la grafica di YouTube. Qui veniamo informati che bisogna aggiornare il Flash Player per poter visualizzare il presunto video.

Se clicchiamo su "Install Plugin" viene scaricato il plug-in malware denominato go.js che effettuerà azioni a nome e per conto nostro su Facebook (taggando gli amici) ed avrà il controllo della nostra navigazione internet.

In particolare viene scaricato il trojan downloader in C:\Users\Utente\AppData\Local\ individuato da Zone Alarm come Trojan.JS.Agent.bxp, un minaccia virus definita come "grave" che aprirà una backdoor nel sistema compromesso.

Ovviamente non visualizzeremo alcun video "imperdibile" di Angelina Jolie ma ci saremo beccati un bel virus. Il consiglio è sempre quello di verificare l'URL del sito internet e che corrisponda in questo caso a www.youtube.com. Non scaricate aggiornamenti da siti non ufficiali, come ad esempio nel caso di Flash player direttamente dal sito ufficiale di Adobe http://get.adobe.com/it/flashplayer/. Coloro che sono caduti nella trappola devono rimuovere il plug-in dal loro browser seguendo le istruzioni riportate qui e cambiare in via precauzionale la pswword per accedere a Facebook. Effettuate una scansione antivirus del vostro sistema e tenete aggiornati i vostri strumenti di sicurezza. Rimuovete ovviamente il post dalla vostra bacheca, passando il mouse in alto a destra e cliccando sulla X o l'ingranaggio. Avvisate i vostri amici che potrebbero essere caduti a lorom volta nella trappola.

Fake video attacco Usa: rootkit da aggiornamenti di stato su Facebook

Una nuova truffa Facebook sfrutta la curiosità degli utenti che vengono spinti a guardare un presunto video sugli Stati Uniti che attaccano l'Iran e l'Arabia Saudita, in una mossa che sarebbe l'inizio della Terza Guerra Mondiale. Forse, le recenti voci che darebbero Israele in procinto di attaccare militarmente l'Iran in primavera, hanno ispirato gli spammer che sperano così di essere maggiormente credibili. Inoltre viene usato un noto network d'informazione, riproponendo la grafica simile all'originale. 

Ovviamente non si vedrà alcun video ma si riceveranno dei pericolsi virus, in particolare dei rootkit. I post individuati su Facebook recitano testualmente: "U.S. Attacks Iran and Saudia Arabia. F**k :-( [LINK] The Begin of World War 3?" ("Stati Uniti attaccano l'Iran e Arabia Saudita. F ** k :-( [LINK] L'inizio della 3 Guerra Mondiale?")

Se si visita il link di cui all'aggiornamento di status, si viene rimandati ad un falso sito CNN news che pretende di contenere il video del conflitto.

Tuttavia, cliccando sulla falsa miniatura del video nella pagina web, viene chiesto di installare un presunto aggiornamento di Adobe Flash Player.

"Naturalmente, non si tratta d'un aggiornamento vero e proprio di Flash, ma piuttosto di malware", spiega Graham Cluley, Senior Technology di Sophos. Ricordate, si deve sempre e solo scaricare un aggiornamento di Flash dal sito originale Adobe (www.get.adobe.com/flashplayer).

Il malware che Sophos ha aggiunto al rilevamento è il Troj / Rootkit-KK che rilascia un rootkit denominato Troj / Rootkit-JV sui computer Windows. Inoltre, Sophos rileva il comportamento del malware come HPsus / FakeAV-J. I rootkit possono essere nascosti nei computer e non venir rilevati dai programmi antivirus. L'obiettivo dei truffatori è quello di guidare più traffico verso determinati siti. 

In questo modo il truffatore guadagna una commissione per ogni sondaggio completato, ogni prodotto acquistato, e / o ogni account compromesso. Al momento il sito non sembra raggiungibile. In questi casi bisogna eseguire la scansione del computer con un programma come Malwarebytes e assicurarsi di avere le ultime patch di sicurezza in vigore. Usate sempre la massima cautela, non cliccare su tutto ciò che i vostri amici condividono su Facebook. .

Chuck Norris muore a 71 anni, ma è scam e pluginjacking Facebook

Agli utenti di Facebook può essere offerto un link a video che mostra come Chuck Norris è morto, ma invece di un video, vengono serviti con un sondaggio truffa o un componente maligno del browser. Graham Cluley ha fornito una variante della truffa che esorta gli utenti a cliccare su un link che li reindirizza a una truffa sondaggio che offre tonnellate di premi in cambio di qualche click e informazioni personali come indirizzo e-mail, nome, codice postale, numero di telefono e data di nascita. I messaggi che sono stati distribuiti su Facebook affermano che il collegamento a un video riporta la notizia della morte impressionante dello star del cinema di arti marziali Chuck Norris. Un tipico messaggio circa la presunta morte della stella di film quali "Karate Kommandos", "Delta Force", "Forced Vengeance", "Return of the Dragon", "Invasion U.S.A", "Missing in Action", e "Missing in Action 2: The Beginning" recita come segue:

[Video] Chuck Norris dies at age 71! Not a Joke.

[LINK]

See the video to find out how he died. News today of Chuck Norris death at age 71 has been met with confusion and humour, but sadly it is true.

[Video] Chuck Norris muore a 71 anni! Non è uno scherzo.

[LINK]

Guarda il video per scoprire come è morto. Oggi notizia della morte di Chuck Norris a 71 anni è stata accolta con confusione e umorismo, ma purtroppo è vero.

Ma Chuck Norris non è morto, e i messaggi puntano a un fin troppo familiare sondaggio truffa.

Chi si nasconde dietro i messaggi errati sulla morte di Chuck Norris sembra voler far completare uno di questi sondaggi. Probabilmente perché guadagnare soldi di affiliazione dal traffico che portano a pagine Web. Nel caso analizzato, Cluley è stato portato a un sito Web con la pretesa di offrire un libero 100 £ di Starbucks Card.

Un'altra variante che Facecrooks ha trovato è molto più pericolosa di questa. Conduce la vittima ignara ad un sito Web maligno che tenta di replicare una pagina di Facebook. Una finestra video esorta l'utente a installare un "Youtube Player update" (Aggiornamento Player YouTube) per visualizzare il video.

Naturalmente, come in molti casi simili, invece di un aggiornamento dei componenti originali, il sito spinge un'estensione del browser chiamata youtube.xpi. Una volta installata, l'elemento maligno può dare ai criminali il controllo sul browser della vittima. Il sito web fasullo che ospita la truffa è progettato per ingannare i visitatori al fine di installare il plugin che mette a rischio anche il sistema.

 Si consiglia agli utenti di ignorare le notizie false e verificare la loro validità da fonti sicure prima di correre a cliccare su link sospetti. Se per errore avete già condiviso la truffa con i vostri amici, assicuratevi di rimuoverla dalla bacheca. D'altra parte, se si cade vittima della seconda variante e installata l'estensione malefica nel browser, accedete al menu impostazioni dell'applicazione e rimuovetela prima che possa provocare danni. Per le istruzioni sulla rimozione dei plug-in potete seguire le indicazioni illustrate in questo post.

Pluginjacking, phishing e abbonamento a suonerie: tutto in unico scam

Proseguono gli attacchi scam agli utenti del social network in blu. Da qualche mese i truffatori hanno messo in atto nuovi metodi per agire a nome e per conto del malcapitato. Tra questi il Pluginjacking, un metodo truffaldino che sfrutta tecniche di ingegneria sociale, al fine di installare estensioni rogue nel browser Web, ma non solo. Come in altri casi analizzati nelle scorse settimane, la nuova truffa promette la visualizzazione d'un presunto video sexy trapelato tra Katy Perry e Russell Brand, che li vedrebbe protagonisti in una scena di sesso spinto. Kate Perry è stata la cantante statunitense che nella primavera-estate del 2008 ha scalato le classifiche di tutto il mondo con il famoso brano I Kissed A Girl.