Secondo i ricercatori di sicurezza di Symantec, all'inizio di questo anno, gli operatori Sality hanno diffuso un componente maligno attraverso la sua rete botnet P2P che ha agito come un keylogger e registrato le credenziali di login a Facebook, Blogger e MySpace. Il trojan ha inviato le credenziali rubate ad un server comando e controllo (C & C), ma li ha anche memorizzati localmente in un file crittografato con grande sorpresa dei ricercatori di sicurezza. Ciò è stato confermato lo scorso fine settimana. Il pacchetto più recente di Sality conteneva un nuovo malware. Le ricerche di malware per i file cifrati contengono sia le credenziali di Facebook o Blogger (Myspace è lasciato da parte). Se tali file sono presenti e contengono le credenziali, il malware si connette quindi ad un server C & C (74.50.119.59, ospitato in Florida) per richiedere un "action script". Tali script sembrano programmi C e sono interpretati dal malware stesso. L'obiettivo principale è quello di automatizzare le azioni di Internet Explorer. Lunedi', 11 Aprile, quando lo script ha inviato le credenziali di Facebook sono stati trovati sulla macchina locale il seguente programma:
I nomi delle funzioni sono auto-esplicativi. Lo script, quando eseguito, esegue le seguenti azioni:
- Crea una visibile istanza di Internet Explorer.
- Passa a facebook.com.
- Log in
- Va alla pagina dell'app Facebook # 119084674184: questa applicazione, denominata VIP Slots, è in giro da alcuni anni.
- Concede l'accesso a questa applicazione.
- Chiude l'istanza del browser.
L'autorizzazione richieste dalla Slot VIP è solo "Informazioni generali", il che significa il vostro nome e il sesso, il profilo dell'immagine, le reti, e la lista di amici. L'applicazione di per sé non sembra mostrare un comportamento dannoso, ma il fatto che un programma dannoso interagisce con essa è molto preoccupante. L'obiettivo finale non è determinato in questa fase: la registrazione dell'utente potrebbe servire come spamming aggressivi (i messaggi che compaiono sulla vostra applicazione news feed), o un modo per ottenere da più utenti l'utilizzo dell'applicazione, allo scopo monetario (con l'acquisto di crediti virtuali). La domanda potrebbe anche essere semplicemente partita innocentemente. Inoltre un altro script è stato distribuito. Le azioni intraprese da questo script generico sono state le seguenti:
- Creare un'istanza invisibile di Internet Explorer.
- Va a google.com.
- Ricerca di "offerte di assicurazione auto".
- Chiude l'istanza del browser.
Le ultime definizioni di Symantec rilevano questo malware come Trojan.Gen. Gli utenti di Facebook possono vedere quali applicazioni sono attualmente sottoscritte, verificando la loro privacy e le impostazioni alla pagina Web delle Applicazioni. Chi desidera può bloccare l'applicazione in questione cliccando su questo link. Dato che in giro su Facebook si possono trovare miriadi di applicazioni rogue, è bene prestare attenzione alle autorizzazioni che ad esse vengono fornite. Prestare attenzione ai file che si scaricano sul PC e a quelli provenienti dalle reti Peer to Peer, che possono contenere trojan. Scaricate le ultime definizioni malware dei vostri programmi antivirus e tenete aggiornato il vostro sistema operativo. Inoltre consigliamo l'uso di browser di navigazione alternativi a Internet Explorer, soprattutto in relazione alla recente falla di sicurezza in Internet Explorer scoperta dalla società di sicurezza VUPEN.
Nessun commento:
Posta un commento