ESET, trojan Submelius attacca Google Chrome: rilasciato update 60

Gli utenti in diversi paesi dell'Europa centrale e del Sud America che guardano video online sono colpiti da un trojan che reindirizza gli spettatori ad un nuovo URL con contenuti dannosi. Il reindirizzamento, spiega ESET, avviene quando le potenziali vittime tentano di visualizzare il video. In quel momento si apre una nuova finestra che chiede di scaricare un'estensione dal negozio online di Google. E la finestra dannosa non si fermerà fino a quando la vittima non cede. Si chiama Chromex.Submelius il malware che reindirizza il browser dell'utente verso un indirizzo specifico con contenuti dannosi, veicolato principalmente attraverso Google Chrome, attualmente uno dei browser più utilizzati al mondo.

Truffa su Facebook attraverso tag da amici porta a falso plugin Flash

Gli spammer trovano sempre dei nuovi metodi o li aggiornano per diffondere il loro scam su Facebook. Adobe ha appena rilasciato degli importanti aggiornamenti per il suo plugin Flash Player e gli spammer sul social network non hanno perso tempo a raccogliere l'opportunità per sfruttare la situazione. In particolare, una un pericoloso scam, presumibilmente di origine turca, in cui si invita ad aggiornare proprio il Flash Player si sta diffondendo attraverso tag. Potrebbe accadere infatti di essere taggati da un amico in un commento su un post o status condiviso da una pagina. 

Nel post individuato da Protezione Account, si legge in particolare: "The teacher raped ! Without the consent of the girl he raped her without mercy ! Family teacher was put into a coma ! ( Strictly follow ) [link rimosso] My friends and tag everyone, not such things." che tradotto: "L'insegnante violentata! Senza il consenso della ragazza che l'ha violentata senza pietà!  Insegnante di Famiglia è stata messo in coma! (Strictly seguire) [link rimosso] I miei amici e taggate tutti, non queste cose."

Se si clicca sullo short link si viene rimandati ad una pagina esterna a Facebook dove per poter vedere il presunto video si viene invitati a installare un falso plugin Flash Player per Chrome. La particolarità della truffa sta nel fatto che con qualsiasi browser si apra il sito si è obbligati a scaricare l'estensione rogue per il browser di Google. Questo perchè la truffa è veicolata solo attraverso il noto browser.

Ovviamente non esiste alcun presunto video dell'insegnante "violentata". La truffa fa probabilmente riferimento ad una delle tante notizie "vere" che girano nel Web http://goo.gl/vnENES su violenze sessuali accadute in alcune scuole o quella sull'insegnante di matematica di un liceo di Tacoma, nello stato di Washington, che è stata arrestata per sesso e video hot che inviava ai suoi studenti. 

In realtà non viene installato alcun Flash Player ma un plugin malware che effettua delle operazioni automatiche attraverso codici Javascript per nome e per conto dell'utente che lo ha installato. In questo caso dei tag a commento in cui vengono citati un certo numero di amici (oltre la venti amici e l'azione viene ripetuta nel tempo). 

Come nella gran parte delle truffe diffuse su Facebook, gli autori dello scam fanno leva sulla curiosità dell'utente e sul fatto che il tag proviene da un amico presumibilmente "fidato". In 15 ore il post ha raccolto ben oltre 1 milione di commenti ed il sistema di sicurezza antispam di Facebook ha individuato e neutralizzato la truffa, ma la pagina sul social network ed il sito sono ancora online. Inoltre, sul Play Store al momento è ancora attiva, dato che il plugin malware risiede proprio sul negozio online di Google.

Non viene fornito alcun screenshot ma nella descrizione dell'estensione si legge: SmartVideo fornisce un migliore controllo sulle opzioni buffering di YouTube opzioni, qualità e gioco. Caratteristiche: 1 .Funziona con tutti i video di YouTube embedded/HTML5. Che si tratti di un video sul news feed di Facebook o un video direttamente dal sito YouTube . 2. Con preferenze globali, tutti i video di YouTube possono essere impostati per iniziare a vostra scelta non appena viene caricata la pagina (...)".

"(...) Lasciate SmartVideo decidere quando è bene iniziare a giocare. Lo 'smart buffer' di SmartVideo  decide la percentuale di buffer in base alla velocità di download in corso. O semplicemente fare i video di YouTube per avviare il buffering quando la pagina viene caricata . È possibile riprodurre il video ogni volta che si desidera (...)". In realtà esiste un'estensione lecita e si chiama proprio SmartVideo For YouTube™. 

Il plugin è stato caricato sullo store il 10 maggio scorso ed ha un peso di 198 kilobyte. Sebbene in lingua inglese è evidente l'origine turca dell'applicazione come in altre pericolose truffe già viste in passato. Il rischio, oltre all'assumere il controllo dell'account Facebook, è quello di essere bloccati dal social network per presunta attività di spamming. Se avete installato per errore il plugin seguite queste istruzioni per rimuoverlo dal vostro browser.

Il consiglio è sempre quello di prestare attenzione alle installazioni o quando ricevete un messaggio da parte di un amico. Prima di effettuare qualsiasi operazione contattate l'amico per verificare se sia stato lui ad inviarvelo volontariamente. Spesso le operazioni automatiche delle applicazioni rogue vengono effettuate quando l'utente risulta offline. A tal proposito è bene ricordare di non utilizzare codici Javascript su Facebook per ottenere delle funzionalità aggiuntive. Installate il Flash Player esclusivamente dal sito ufficiale di Adobe.

Falso aggiornamento di Adobe Flash Player nasconde codice pericoloso

A pochi giorni dalla conferma di un problema che affliggeva l'ultima versione del plug-in Flash, Adobe ha annunciato di aver risolto il fastidioso bug dei crash continui denunciato da molti utilizzatori del browser Firefox di Mozilla su sistema operativo Windows. Le due società hanno lavorato insieme per individuare le fonti di questi problemi e sembra adesso che tutto sia stato risolto. E forse proprio per questo, nonchè per la sua popolarità, Adobe Flash Player è ancora un'applicazione che viene preferita dai criminali informatici per le campagne che coinvolgono i falsi aggiornamenti.

Il nuovo schema di attacco scoperto da esperti di Zscaler inizia con una pagina Web che comunica all'utente che è in esecuzione una versione non aggiornata di Flash e richiede un aggiornamento del plugin per guardare un video. Il falso aggiornamento fFlash è in realtà un eseguibile dannoso. Questo tipo di attacco è ancora in corso.

L'aggiornamento è in realtà una falsa estensione per i browser Web. A seconda del browser in esecuzione sul PC della vittima, viene presentato un file. XPI (Firefox), un file .CRX (Google Chrome), o un file .Exe (Internet Explorer). Una volta installata, queste estensioni permettono all'attaccante di accedere alla macchina infetta.

Tuttavia, questa non è la preoccupazione principale. Il problema è che la maggior parte delle soluzioni antivirus non sono in grado di rilevare le estensioni dannose perché sono essenzialmente file di testo. Mentre l'eseguibile è facilmente identificabile come una minaccia, l'.XPI e il .CRX non sono rilevati come pericolosi da alcuni motori AV secondo VirusTotal.

"Un altro aspetto degno di nota è il fatto che l'add-ons non contengono codice dannoso, piuttosto, quando il browser si avvia, l'add-on preleva il codice JavaScript dannoso da un server esterno e lo esegue", spiega Julien Sobrier, ricercatore di Zscaler. I file correnti non sono molto pericolosi, ma potrebbero cambiare in futuro.

Un iFrame invisibile viene inserito in ogni nuova pagina caricata. L'iFrame contiene pubblicità dal resultsz.com, e contiene un nome utente nell'URL. "Questo mi dice che l'autore adware prende soldi per il traffico inviato a questo sito, anche se l'utente infetto non può effettivamente vedere ciò che viene caricato", aggiunge Sobrier.

"L'autore potrebbe cambiare il file remoto in qualsiasi momento per fare molti più danni, come rubare i cookie per ottenere l'accesso agli account utente su qualsiasi sito, rubando username / credenziali di accesso o password precedentemente salvate, ecc.", conclude l'esperto. Il consiglio è dunque quello di prestare sempre attenzione ai siti che si visitano, ai link su Facebook o altri social network, e di effettuare qualsiasi aggiornamento dal sito ufficiale del produttore, in questo caso Adobe (http://get.adobe.com/it/flashplayer/), ricordando che Chrome include già Adobe Flash Player e che si aggiorna automaticamente quando è disponibile una nuova versione di Flash Player.

Hotmail: violati account tramite password reset, Microsoft patcha vulnerabilità

Microsoft avrebbe risolto una grave vulnerabilità in Hotmail, che permetteva agli hacker di reimpostare le password degli account, bloccando il vero proprietario dell'account e dando gli aggressori l'accesso alle caselle di posta degli utenti. La notizia del bug critico si è diffusa rapidamente nei forum metropolitani di hacking, e Whitec0de ha riportato all'inizio di questa settimana che gli hacker offrivano la possibilità di entrare in un account Hotmail per 20 dollari. Sembra che la vulnerabilità esisteva nella funzione di reset della password di Hotmail (https://account.live.com/ResetPassword.aspx)

Gli hacker erano in grado di utilizzare un add-on Firefox chiamato Tamper Data per bypassare le protezioni normali messe in atto per proteggere gli account Hotmail. L'exploit è stato scoperto da un hacker in Arabia Saudita che è un membro del forum sulla sicurezza popolare dev-point.com. A quanto pare l'exploit è trapelato sui forum di dark-web hacking. Tutto l'inferno si è scatenato quando un membro di un forum molto popolare di hacking ha offerto il suo servizio che può hackerare 'qualsiasi' account e-mail entro un minuto. "L'exploit si è propagato a macchia d'olio in tutta la comunità degli hacker.

Molti utenti che hanno legato il loro account di posta elettronica ai servizi finanziari come Paypal e Liberty Reserve sono stati presi di mira e il denaro saccheggiato via. Mentre molti altri hanno perso i loro account Facebook e Twitter", spiega Ed Bot di ZDnet. Un rapporto pubblicato da Vulnerability-Lab ha descritto la vulnerabilità e ha fornito un calendario per la divulgazione e la correzione. Il bollettino ha valutato la gravità come "Critica", sulla base di questa descrizione:

"Una vulnerabilità critica è stata trovata nella funzionalità ufficiale di password reset del servizio ufficiale MSN Hotmail di Microsoft. La vulnerabilità permette ad un aggressore per ripristinare la password Hotmail / MSN con i valori scelti dall'attaccante. Gli aggressori remoti possono bypassare il servizio di recupero password per impostare una nuova password e bypassare le protezioni poste (token based). Il token di protezione controlla solo se il valore è vuoto poi blocca o chiude la sessione web. Un attaccante remoto può, ad esempio aggirare il token di protezione con valori '+ + +)-'. Il successo dello sfruttamento dei risultati danno l'accesso non autorizzato all'account MSN o Hotmail. Un utente malintenzionato in grado di decodificare il CAPTCHA e inviare i valori automatizzati nel modulo di MSN Hotmail".

Il bollettino dice che Microsoft ha risolto la vulnerabilità il 20 aprile 2012, anche se la notizia è stata diffusa nelle scorse. La linea temporale più dettagliata mette il Fix / Patch data del vendor il giorno successivo:

Report-Timeline:
================

• 2012/04/06: Notifica Ricercatore e Coordinamento 
• 2012/04/20: Notifica fornitore da conferenza VoIP
• 2012/04/20: Risposta del fornitore / Feedback 
• 2012/04/21: Fix Vendor / Patch 
• 2012/04/26: divulgazione al pubblico o non pubblico

Durante almeno una parte di quel gap di due settimane, la vulnerabilità è stata ampiamente sfruttata, dichiara una fonte. L'exploit in sé era molto semplice. Secondo il rapporto esso consisteva nell'utilizzare una add-on per Firefox chiamato Tamper Data che permette all'utente di intercettare la richiesta HTTP in uscita dal browser in tempo reale e modificare i dati. Tutto ciò che l'attaccato doveva fare era quello di selezionare l'opzione "Ho dimenticato la mia password" e selezionare "Invia a me un link reset" e avviare i Tamper Data in Firefox e modificare i dati in uscita.

Numerosi i video di YouTube che hanno dimostrato il proof of concept per ottenere l'accesso agli account Hotmail. Secondo alcuni rapporti, gli hacker marocchini hanno attivamente approfittato della vulnerabilità e pianificato per reimpostare le password di un elenco di 13 milioni di utenti Hotmail in loro possesso. Ciò che non è noto è quali account di Hotmail dei 350 milioni di utenti potrebbero essere stati influenzati dalla grave vulnerabilità di sicurezza, Microsoft infatti non lo ha reso noto.

Il pericolo potrebbe essere ancor maggiore nel caso in cui l’account Hotmail fosse utilizzato per i servizi Windows Live o per l'accesso a Facebook. "Ma se siete preoccupati, c'è un modo semplice per controllare. L'account Hotmail hackerato avrebbe avuto la propria password cambiata, quindi se non siete più in grado di accedere al vostro account Hotmail è possibile (anche se tutt'altro che definitiva - ci possono essere altre ragioni, naturalmente) che il vostro account di posta elettronica è stato vittima di questo tipo di attacco", spiega Graham Cluley di Sophos. Se si riesce ad accedere al proprio account senza problemi, significa che non si è rimasti vittima dell’attacco.

Kaspersky Lab, malware a marzo 2012: nel mirino anche utenti Facebook

A marzo gli esperti di Kaspersky Lab hanno individuato un attacco nocivo che utilizzava malware in grado di operare senza creare file sui sistemi infetti. Un’indagine condotta da Kaspersky Lab ha dimostrato che i siti web dei media russi che utilizzavano il sistema teaser AdFox nelle proprie pagine, infettavano involontariamente i propri visitatori. Durante il download del teaser, il browser dell'utente veniva segretamente reindirizzato verso un sito web nocivo contenente un exploit Java.

Attacchi scam polimorfici hanno come destinazione gli utenti Facebook

Pubblicità dannosa su Facebook di solito porta gli utenti a indagini truffa, pezzi di malware, siti di phishing e altri tipi di programmi pericolosi da parte di criminali informatici. Tuttavia, gli esperti di Bitdefender si sono imbattuti in un attacco "polimorfico" che potrebbe finire in uno di questi scenari. Un complesso attacco promette video di sesso trapelato, offre payload morphed attraverso le estensioni del browser avvelenate (pluginjacking).

Chuck Norris muore a 71 anni, ma è scam e pluginjacking Facebook

Agli utenti di Facebook può essere offerto un link a video che mostra come Chuck Norris è morto, ma invece di un video, vengono serviti con un sondaggio truffa o un componente maligno del browser. Graham Cluley ha fornito una variante della truffa che esorta gli utenti a cliccare su un link che li reindirizza a una truffa sondaggio che offre tonnellate di premi in cambio di qualche click e informazioni personali come indirizzo e-mail, nome, codice postale, numero di telefono e data di nascita. I messaggi che sono stati distribuiti su Facebook affermano che il collegamento a un video riporta la notizia della morte impressionante dello star del cinema di arti marziali Chuck Norris. Un tipico messaggio circa la presunta morte della stella di film quali "Karate Kommandos", "Delta Force", "Forced Vengeance", "Return of the Dragon", "Invasion U.S.A", "Missing in Action", e "Missing in Action 2: The Beginning" recita come segue:

[Video] Chuck Norris dies at age 71! Not a Joke.

[LINK]

See the video to find out how he died. News today of Chuck Norris death at age 71 has been met with confusion and humour, but sadly it is true.

[Video] Chuck Norris muore a 71 anni! Non è uno scherzo.

[LINK]

Guarda il video per scoprire come è morto. Oggi notizia della morte di Chuck Norris a 71 anni è stata accolta con confusione e umorismo, ma purtroppo è vero.

Ma Chuck Norris non è morto, e i messaggi puntano a un fin troppo familiare sondaggio truffa.

Chi si nasconde dietro i messaggi errati sulla morte di Chuck Norris sembra voler far completare uno di questi sondaggi. Probabilmente perché guadagnare soldi di affiliazione dal traffico che portano a pagine Web. Nel caso analizzato, Cluley è stato portato a un sito Web con la pretesa di offrire un libero 100 £ di Starbucks Card.

Un'altra variante che Facecrooks ha trovato è molto più pericolosa di questa. Conduce la vittima ignara ad un sito Web maligno che tenta di replicare una pagina di Facebook. Una finestra video esorta l'utente a installare un "Youtube Player update" (Aggiornamento Player YouTube) per visualizzare il video.

Naturalmente, come in molti casi simili, invece di un aggiornamento dei componenti originali, il sito spinge un'estensione del browser chiamata youtube.xpi. Una volta installata, l'elemento maligno può dare ai criminali il controllo sul browser della vittima. Il sito web fasullo che ospita la truffa è progettato per ingannare i visitatori al fine di installare il plugin che mette a rischio anche il sistema.

 Si consiglia agli utenti di ignorare le notizie false e verificare la loro validità da fonti sicure prima di correre a cliccare su link sospetti. Se per errore avete già condiviso la truffa con i vostri amici, assicuratevi di rimuoverla dalla bacheca. D'altra parte, se si cade vittima della seconda variante e installata l'estensione malefica nel browser, accedete al menu impostazioni dell'applicazione e rimuovetela prima che possa provocare danni. Per le istruzioni sulla rimozione dei plug-in potete seguire le indicazioni illustrate in questo post.

Scam su Facebook sopravvive grazie a estensione rogue di Firefox

Una truffa sfrutta Facebook per diffondersi tra gli utenti, ma resta attiva anche se viene bloccata l'applicazione sul social network ad essa collegata, in quanto si tratta d'un falso add-on per Firefox. Il team di sicurezza di Facebook ha bloccato l'applicazione, grazie al suo sistema automatico di rilevamento spam, ma ci si aspetta una nuova ondata di attacchi che sfruttano questo nuovo sistema.

I ricercatori di sicurezza di Symantec hanno  individuato, una nuova truffa che colpisce gli utenti di Facebook che attraverso un trucco procede all'installazione di una estensione di Firefox canaglia al fine di rimanere attiva più a lungo possibile. I truffatori promettono agli utenti la possibilità di vedere gli utenti più attivi sul proprio profilo, una funzionalità che non esiste su Facebook. Nei messaggi di spam si legge: 

"Non riesco a credere che si può vedere chi visualizza il tuo profilo PROFILO! posso vedere la TOP 10 delle persone e sono veramente a bocca aperta che il mio ex mi sta ancora controllando qui ogni ora. Potete vedere chi controlla il : [link] " ("I cant believe that you can see who is viewing your profile! I can see the TOP 10 people and i am really OPENMOUTHED that my EX is still checking me every hour. You can also see WHO CHECKS YOUR PROFILE here: [link]"). Come nella maggior parte delle truffe, il link porta gli utenti ad una applicazione di Facebook canaglia che chiede il permesso per accedere ai propri dati posti sul loro profilo.

Se abilitata, l'applicazione inizia a postare lo spam sui muri delle vittime a loro insaputa. Sono poi reindirizzati a una pagina chiedendo loro di installare una speciale estensione di Firefox chiamata "Facebook Connect". Per farla sembrare più credibile, la pagina usa la grafica rubata dal sito di Mozilla Add-ons e sostiene che l'estensione viene scaricata per 27.000 volte a settimana. E sono in molti, a tal proposito, a criticare il sistema che adotta Mozilla per installare gli add-on.

"Naturalmente questa estensione 'Facebook Connect' di Firefox non si trova sul dominio ufficiale, ma Mozilla la ospita su un sito di terze parti. Non è raro, quindi che la maggior parte degli utenti potrebbe ignorare l'avvertimento generico visualizzato da loro quando si installa l'estensione", dice Candid Wueest ricercatore di Symantec. Esso mostra un sito che pubblicizza la funzione "statistiche profilo", ma chiede agli utenti di partecipare ad un primo sondaggio.

Per ogni utente che fa ciò, i truffatori guadagnano una commissione. Gli attaccanti, sfruttando l'estensione di Firefox aumentano la durata della vita del loro truffe, perché anche se gli utenti rimuovono l'applicazione canaglia Facebook o lo spam postato sulle loro bacheche, l'add-on continuerà a visualizzare i pop-up. Inoltre, il contenuto può essere cambiato in qualcosa di ancora più dannoso se gli scammer lo desiderano, come gli annunci scareware che spingono a falsi prodotti antivirus.

Il team di sicurezza di Facebook ha già reagito e rimosso le applicazioni e i posti corrispondenti nello spazio dell'utente. Ma, come sempre tenere un occhio o due aperti dato che dove c'è una truffa, ce ne sono altre a seguire. Symantec ha anche visto che la stessa estensione viene pubblicizzata in truffe script manuali. Queste sono quelle che si ottengono reindirizzando l'utente a un sito Web che chiede di copiare / incollare un codice javascript offuscato nel browser o, meglio ancora, chiede all'utente di inviare direttamente il messaggio per almeno cinque volte su Facebook. 

Un sistema di protezione semplice e buono contro questa variante è quello di consentire l'accesso SSL su Facebook, in quanto il pop-up viene generato solo quando la versione http è caricata e non sul sito https. Inoltre, questo contribuirà a garantire le vostre sessioni da sniffer come l'estensione fraudolenta Firesheep, un componente aggiuntivo per Firefox che sfrutta una vulnerabilità nelle impostazioni di cifratura dei cookie di molti dei più popolari siti della Rete. Per eludere almeno in parte questi tentativi di furto di password, Facebook offre ai propri utenti la connessione cifrata basata sul protocollo sicuro HTTPS per tutto lo scambio di dati. Prestate inoltre attenzione ai componenti aggiuntivi che andate ad installare sul browser di Mozilla.