Durante il monitoraggio dei dati dello Smart Protection Network ™, gli esperti di Trend Micro hanno notato un file sospetto dal sito web
http://{BLOCCATO}bookhacking.com/FacebookHackerPro_Install.exe. L'osservazione del nome a dominio, suggerisce che ospita uno strumento di hacking per il sito di social networking Facebook. "Quando ho controllato, il file è presumibilmente in grado di ottenere la password Facebook", scrive Rodell Santos, treat analyst di Trend Micro.
In base all'analisi del file di installazione, questo si comporta come un normale programma di setup che mostra il contratto di licenza ad un utente finale (
EULA) e offre agli utenti la possibilità di salvare il programma nella sua cartella preferita. L'installazione del file di setup elimina il pericoloso file "Toolbar.exe" nella cartella temporanea degli utenti a loro insaputa. Una volta installato, viene visualizzata una finestra che richiede agli utenti di codificare l'indirizzo e-mail o il Facebook ID di destinazione del loro account Facebook:
Il sistema adottato è molto simile al
kit fai da te per rubare la password Facebook diffuso quasi 2 anni fa e che permette di creare trojan personalizzati per il furto delle credenziali di accesso. Per apparire legittimo, il programma attuale mostra anche una finestra per indicare che la richiesta è in corso. Dopo aver atteso 2-5 minuti, gli utenti vengono informati che la password desiderata è stata trovata:
Ora per la parte interessante: per acquisire la password, gli utenti devono acquistare una chiave di prodotto, che costa 29.99 dollari. Se gli utenti scelgono di acquistare un prodotto chiave, vengono rimandati al sito
http://{BLOCCATO}bookhacking.com/p/unlock. Una volta acquistata, agli utenti viene nuovamente richiesto di codificare l'indirizzo e-mail o ID Facebook. Dal momento che la chiave è stata già rilevata, il programma mostra ora la seguente schermata:
"Ma come ha fatto il programma ad ottenere questo? Semplice: il programma ha scaricato e utilizzato un'applicazione gratuita di terze parti, progettata per recuperare e visualizzare le password salvate nella cache del browser locale degli utenti",
spiega Santos. Così, il
recupero delle credenziali funzionerà solo per gli utenti che dispongono di password memorizzate nei loro sistemi.
L'applicazione di terze parti viene utilizzata legittimamente per il recupero delle password, ma in questo caso è stata usata maliziosamente per l'attacco di hacking. Trend Micro rileva il programma canaglia come
SPYW_FAKEHACK , mentre il file dropped "Toolbar.exe" come
ADW_PLUGIN. Sarah Calaunan, fraud analyst di Trend Micoro, ha scoperto anche un altro strumento di hacking per Facebook che viene spacciato sul sito qui sotto:
Gli utenti, una volta che scaricano ed esegueno questo strumento (rilevato come
TROJ_DROPPER.ZGD), è il drop del file dannoso (rilevato come
TROJ_VBINJECT.XG). Il file eliminato è un
keylogger che si aggancia ad alcune API, ruba informazioni dal sistema infetto, e invia le informazioni rubate a un URL specifico. Alcuni utenti di Internet possono essere attirati nei download di questi strumenti, come promessa di accesso alla password Facebook di qualcuno senza il loro consenso.
Per fortuna, al posto della password attuale, gli utenti che scaricano quest'ultimo strumento di hacking acquisiscono una password diversa e finiscono per pagare un servizio fasullo. Trend Micro protegge gli utenti da questa minaccia atttraverso
Smart Protection Network™, che impedisce l'accesso ai siti che ospitano tali strumenti di hacking. Rileva ed elimina anche il malware relativo dal sistema. A causa dei
suoi 901 milioni di utenti, Facebook è un obiettivo naturale per le attività di criminalità informatica.
