Nuovo metodo scam Facebook diffuso con plug-in malware browser

In queste ore è attiva su Facebook una truffa relativa alla presunta visualizzazione di un video nel quale si vedrebbe Marika Fruscio con un seno scoperto e che viene poi inviata sulla bakeka a tutti i contatti dell'utente che è caduto nello scam. Qualche utente lamenta il problema nonostante abbia eliminato tutte le applicazioni dal proprio profilo. Fino ad ora gli scammer per questa tipologia di truffe hanno sfruttato il noto metodo del clickjacking, adesso invece hanno sviluppato un nuovo approccio per loro la diffusione su Facebook. Invece di usare, per esempio, gli aggiornamenti di stato come un richiamo, l'ultima generazione di truffa Facebook tenta di ingannare l'utente con l'installazione di estensioni maligne sul browser. I plug-in sono presumibilmente necessari per visualizzare inesistente video clip apparentemente inviato da una vittima in precedenza.

Infatti, Websense ® ThreatSeeker ® Network ha recentemente individuato alcune truffe su Facebook che ora utilizzano la potenza delle estensioni del browser per diffondersi sui profili di altri utenti. Le truffe tipicamente utilizzano pagine di trucchi di social engineering - come la diffusione di video seducenti o le offerte per un buono gratuito. "Ora per di più, abbiamo scoperto che alle vittime viene anche chiesto di installare un plugin per il browser. Il plugin è una parte integrante di come la truffa viene diffusa. Una volta installato, il plugin si collega a uno script che utilizza le API di Facebook e poi i messaggi della truffa alle pagine di amici della vittima", scrive Websense nel suo rapporto. 

Uno dei vantaggi di usare un plugin è la capacità di persistenza nel browser della vittima e la propagazione ad altri profili - che è simile alle app scam viste in precedenza su Facebook. Gli esperti di Websense hanno rilevato che vengono utilizzati plugin malevoli solo su Chrome e Firefox. Ecco come una pagina esempio di scam appare con Chrome e Firefox, rispettivamente:

Plug-in su Chrome

Plug-in su Firefox

Il codice verifica quale browser è installato e serve il plugin dannoso compatibile. I file del plugin Chrome terminano con un'estensione del file CRX e i plugin per Firefox dei file terminano con l'estensione del file XPI. I file dei plugin di Chrome e di Firefox sono in forma compressa. Guardando all'interno di questi plugin viene rivelato un codice maligno che carica uno script da altri siti. Questo codice è in definitiva caricato dal browser che si connette a Facebook. Il codice dei post a nome della vittima viene diffuso sulle pagine degli amici della vittima, che si traduce in una ulteriormente diffusione della truffa, spam, e possibilmente malware.

Per vedere il codice dietro il plug-in della truffa mostrata sopra, Websense ha diffuso delle immagini dopo aver decompresso il file zip che contiene le estensioni maligne:

Per risolvere il problema bisogna dunque rimuovere i plug-in malevoli installati nel browser. Per far ciò su Chrome andate sulla chiave inglese nell'angolo in alto a destra del browser. Cliccate su Opzioni e in corrispondenza dell'estensione sconosciuta cliccate su Rimuovi.

Se utilizzate Firefox cliccate su Firefox in alto a sinistra del browser e dal menu a discesa che si aprirà scegliete Componenti aggiuntivi e da Estensioni cliccate su Rimuovi per eliminare l'estensione malevola. Completate l'operazione riavviando Firefox.

Prestate sempre la massima attenzione ai post che vi vengono condivisi dagli amici e alle operazioni che vi vengono proposte per la visualizzazione di presunti "filmati imperdibili". Per quanto queste offerte appaiono allettanti se, come in questo caso, vi viene chiesto di installare plug-in al fine di ottenere offerte o guardare un video, ricordare che potrebbe trattarsi di un trucco per diffondere truffe, spam e malware.