Cybersquatting: falso sito di Facebook ospita applicazioni maligne

Gli esperti di Websense ® ThreatSeeker ® Network hanno individuato un falso sito di Facebook che riin Thailandia. La pagina Web appare molto diversa da quella del popolare portale di social networking, quindi è improbabile che il proprietario del sito possa usare il solito trucco di social engineering solito per rubare le credenziali. Tuttavia, come avremo modo di vedere il sito ospita alcune applicazioni malevole con lo scopo di intercettare le informazioni dei loro utenti inconsapevoli. 

I clienti Websense sono protetti da questo tipo di attacco da ACE, il loro avanzato motore per la classificazione. ACE è un composito avanzato motore di classificazione dei contenuti incorporato nelle soluzioni Websense. Riconosciuta come leader mondiale nella ricerca sulla sicurezza, Websense Security Labs pubblica i risultati di centinaia di partner di sicurezza e altre organizzazioni in tutto il mondo 24 ore al giorno, sette giorni alla settimana.

Come possiamo vedere nella foto sopra, la home page ha un aspetto diverso da quello originario Facebook, anche se ne condivide alcune somiglianze, come il colore e lo stile dei pulsanti in alto. L'analisi di FireShark ci mostra anche delle foto-looking legittime, come la maggior parte delle connessioni che sembrano andare nella direzione giusta, così come per le destinazioni legittime e pulite:

A questo punto, un ricercatore di sicurezza potrebbe pensare che il creatore di questo sito vuole semplicemente guadagnare un po' di denaro con l'acquisto del nome a dominio di primo livello del social network per il proprio paese (cybersquatting Facebook), quindi per aprire delle trattative per un commercio o buy-out. 

Il cybersquatting è il fenomeno per cui utenti esterni si fanno assegnare nomi di domini internet corrispondenti a marchi o nomi di personaggi famosi, un fenomeno in costante crescita nel mondo. La World Intellectual Property Organization (WIPO) ha dichiarato a Marzo che il numero di cause per cybersquatting è aumentato del 28% rispetto allo scorso anno. Tuttavia, prima di chiudere questo argomento, diamo un'occhiata ad alcune delle altre pagine ospitate:

Come si può vedere, alcune delle pagine contengono applicazioni maligne, in grado di installare un bot (Win32/Dorkbot.A) e un altro agente malware sui computer degli utenti. Websense Security Labs desidera sottolineare che questo sito non è l'originale Facebook, e gli utenti dovrebbero sempre fare attenzione quando visitano siti che sono sconosciuti o senza categoria.  Adottare le seguenti misure per aiutare a prevenire l'infezione del computer:

• Attivare un firewall sul vostro computer.
• Ricevere gli ultimi aggiornamenti del computer per tutti i vostri software installati.
• Utilizzare un software antivirus aggiornato.
• Limitare i privilegi di utente sul computer.
• Fare attenzione quando si aprono gli allegati e trasferimenti di file accettanti.
• Usare cautela quando si clicca sui link a pagine web.
• Evitare di scaricare software pirata.
• Proteggersi contro gli attacchi di social engineering.
• Utilizzare password complesse.

Win32/Dorkbot.A è un worm che si diffonde attraverso siti web compromessi o dannosi che utilizzano exploit in formato PDF o particolari exploit dei browser. Esso contiene anche una funzionalità backdoor che consente l'accesso non autorizzato e il controllo del computer colpito. Questa minaccia particolarmente grave, si diffonde anche attraverso l'instant messaging e le unità rimovibili. 

Il Worm: Win32/Dorkbot.A si collega a un determinato server IRC, entra in un canale e attende comandi. Usando questa backdoor, un attaccante remoto può eseguire una serie di azioni diverse su un computer interessato. Il worm può essere comandato per raccogliere informazioni del computer interessato, intercettare le comunicazioni browser Internet con vari siti web e ottenere informazioni sensibili come le password di accesso ai vari servizi online.