Worm su Skype blocca il PC e ruba dati di accesso a Facebook e Twitter

Skype, la nota piattaforma di comunicazione VoIP su Internet, viene utilizzata dagli hacker per distribuire un "worm" che infetta i PC Windows. I ricercatori di sicurezza hanno rilevato una nuova campagna di malware che tenta di infettare gli utenti Skype, inviando loro dei link fraudolenti ai contatti nella loro rubrica. L'attacco di social-engineering, che è stato in primo luogo segnalato Venerdì, da GFI Labs, tenta di installare una variante del worm Win32/Dorkbot che prima minacciava gli utenti di Facebook e Twitter. Dorkbot è stata scoperta la prima volta nel 2011 e viene utilizzata principalmente per rubare informazioni, permettendo agli aggressori di mettere le mani sulle credenziali di vari social.

Worm utilizza Facebook e applicazioni Instant Messaging per diffondersi

Le piattaforme di social media e i popolari servizi di instant messaging (IM) sono ottimi sistemi per i cybercriminali di diffondere le loro applicazioni ed elementi dannosi. Gli esperti Trend Micro forniscono un ottimo esempio di un worm che utilizza tali metodi e sta facendo il giro di queste piattaforme. I ricercatori riferiscono che un malware, identificato come Worm_Steckct.evl, viene distribuito tramite un link che viene inviato nei messaggi privati ​​su Facebook e programmi di IM.

Variante Ramnit virus attacca utenti Facebook, violati 45.000 account

Un worm pervasivo ha ampliato la sua portata ed è intenzionato a rubare ora i dettagli di login e password degli utenti di Facebook, ha avvertito il vendor di sicurezza Seculert, che ha trovato un server comando e controllo con 45.000 credenziali di accesso. Il worm, chiamato Ramnit, infetta i file eseguibili di Windows, Microsoft Office e file HTML. Ruba nomi utente, password, cookie del browser e può anche funzionare come una backdoor, che permette ad un hacker di fare altre azioni pericolose su un computer infetto.

Molto è stato scritto circa il worm Ramnit e la sua trasformazione in un malware finanziario. E ora, laboratorio di ricerca Seculert ha scoperto che Ramnit ha recentemente iniziato a prendere di mira gli account Facebook con notevole successo, rubando più di 45.000 credenziali di login di Facebook in tutto il mondo, per lo più persone nel Regno Unito e Francia.

Scoperto nel mese di aprile 2010, il Microsoft Malware Protection Center (MMPC) descrive Ramnit come "un multi-componente della famiglia di malware che infetta eseguibili di Windows così come i file HTML", "ruba informazioni sensibili come le credenziali FTP memorizzate e i cookie del browser". Prima di procedere all'infezione di altri file sulla macchina, il malware determina innanzitutto se una precedente istanza del suo processo è già in esecuzione.

Il malware può anche aprire una backdoor in attesa di istruzioni da un attaccante remoto. Win32/Ramnit si connette a un server remoto e attende istruzioni da un utente malintenzionato. Usando questa backdoor, un aggressore remoto potrebbe istruire un computer infetto per eseguire azioni come scaricare un file ed eseguirlo o connettersi a un altro server e attendere istruzioni. Nel Report di luglio 2011 Symantec [PDF] ha stimato che varianti del worm Ramnit hanno rappresentato il 17,3 per cento di tutte le nuove infezioni da software dannosi. "Il malware bloccato con maggior frequenza durante il mese precedente è stato W32.Ramnit!html", ha detto Symantec.

Numero di macchine infette da Ramnit tra settembre 2011 e dicembre 2011

Il worm si diffonde criptandosi e unendosi a file con estensione .DLL, .EXE e .HTML.  Nell'agosto del 2011, Trusteer ha riferito che è Ramnit è diventato "finanziario". Dopo la fuoriuscita del codice sorgente di ZeuS a maggio, è stato suggerito che gli hacker dietro Ramnit hanno accorpato varie funzionalità di diffusione delle frodi finanziarie per creare una "creatura ibrida" che è ha le dimensioni e le capacità dell'infezione Ramnit e quelle finanziarie di data-sniffing di ZeuS.

Il worm ha acquisito la capacità di iniettare il codice HTML in un browser Web, permettendo di bypassare a Ramnit l'autenticazione a due fattori e i sistemi di transazione a firme, ottenenendo l'accesso remoto alle istituzioni finanziarie, le sessioni di online banking e penetrare in diverse reti aziendali dopo averle compromesse.

 Distribuzione infezione Facebook Ramnit.C per paese

Con l'uso di un Sinkhole, Seculert ha scoperto che circa 800.000 computer sono stati infettati con Ramnit da settembre a fine dicembre 2011. Sembra, tuttavia, che questo non è l'ultima spirale. Recentemente, il laboratorio di ricerca Seculert ha identificato una variante finanziaria completamente nuova di Ramnit che mira a rubare le credenziali di login di Facebook.

Poiché il Facebook Ramnit C & C URL è visibile e accessibile, è stato abbastanza semplice rilevare che oltre 45.000 credenziali di accesso di Facebook sono state rubate in tutto il mondo, principalmente da parte degli utenti nel Regno Unito e Francia. Aviv Raff, CTO e co-fondatore di Seculert , ha detto che gli autori di Ramnit autori adesso attaccano i social network perchè è un modo più produttivo per raccogliere i dati sensibili delle persone.

Server Ramnit Comando & Controllo con file account Facebook visibili

"Abbiamo il sospetto che gli aggressori dietro Ramnit utilizzano le credenziali rubate di login agli account Facebook delle vittime e di trasmettere i link malevoli ai loro amici, quindi il malware diventa più grande e si diffonde ancora di più", dicono i ricercatori. "Inoltre, i cybercriminali stanno approfittando del fatto che gli utenti tendono a utilizzare la stessa password nei vari servizi web (Facebook, Gmail, Corporate VPN SSL, Outlook Web Access, ecc.) per ottenere l'accesso remoto alle reti aziendali". Questa variante e capacità del worm Ramnit sono abbastanza nuove.

Al suo primo apparire, il worm ha concentrato i propri sforzi nell'infettare .EXE, .SCR, .DLL., .HTML e altri tipi di file e rubare le credenziali FTP e cookies del browser. Dai campioni di reverse-engineering per questa variante, i ricercatori hanno trovato che il metodo utilizzato per configurare Ramnit quando indirizza ad una specifica banca è identico a quello utilizzato da Zeus.

Con il recente worm ZeuS di Facebook e questa variante Ramnit più recente, sembra che gli hacker più sofisticati stanno ora sperimentando la sostituzione della vecchia scuola worm di posta elettronica con più aggiornati worm di rete sociale. Come dimostrato dai 45.000 account Facebook compromessi, il potere virale dei social network può essere manipolato per causare notevoli danni alle persone e alle istituzioni quando è nelle mani sbagliate. Seculert ha fornito a Facebook tutte le credenziali rubate che sono state trovate sul Ramnit server.

Adottare le seguenti misure per prevenire l'infezione del computer:

• Attivare un firewall sul computer.
• Ricevere gli ultimi aggiornamenti del computer per tutti i vostri software installati.
• Utilizzare un software antivirus aggiornato.
• Limitare i privilegi dell'utente del computer.
• Prestare attenzione quando si aprono gli allegati e ad accettare trasferimenti di file.
• Prestare attenzione quando si clicca su link a pagine Web e Facebook
• Evitare di scaricare software pirata.
• Proteggersi da attacchi di social engineering.
• Utilizzare password complesse.

Scam nella posta Facebook apre comunicazione con un server remoto

Un nuovo attacco scam nella posta degli utenti di Facebook è stato individuato da Protezione Account. Potreste ricevere un link inviato inconsapevolmente da uno dei vostri amici che ha già contratto l'infezione. La propagazione virale ricorda il Worm Koobface e si integra sul profilo delle vittime, visualizzando collegamenti a siti web malevoli. I siti web promuovono un'immagine che in realtà è uno file con estensione .SRC. Si tratta dell'estensione utilizzata per gli screen saver di windows che è a tutti gli effetti un file eseguibile. Ecco un tipo messaggio ricevuto nella casella email sull'account  di un utente Facebook:

Se clicchiamo sul link verremo rimandati all'URL per effettuare direttamente il download del file.

In realtà non è una foto e nemmeno uno screensaver, come possiamo vedere dall'avviso dato da Windows.

Se eseguiamo l'applicazione PIC04402011.JPG (220 Kbyte), verrà aperta una porta di comunicazione con un server remoto

L'apertura della porta TCP potrebbe permettere ai malintenzionati di prendere il controllo del proprio computer. In questo modo verrà inviato automaticamente a tutti gli amici della vittima su Facebook, il messaggio con il link che rimanda all'infezione. Per questo vi consigliamo sempre di prestare attenzione ai messaggi che ricevete dagli amici che contengono link non corredati da una logica spiegazione. Inoltre vi consigliamo d'installare una soluzione completa di protezione, che include oltre all'antivirus anche un firewall in sostituzione di quello fornito da Windows, che in questi casi risulta del tutto insufficiente per una protezione del sistema.

Facebook patcha vulnerabilità XSS che permetteva spam su bacheche

Una vulnerabilità cross-site scripting (XSS) su Facebook è stata utilizzata per lanciare un worm auto-spam che si moltiplicava sul social network attraverso le bacheche degli utenti inconsapevoli, secondo i ricercatori di sicurezza di Symantec. La vulnerabilità XSS si trovava nelle API Facebook mobile ed è stata causata da una insufficiente validazione JavaScript.

L’argomento della validazione dei dati di una form tramite JavaScript è noto alla maggior parte degli sviluppatori di applicazioni Web. L’approccio classico consiste nell’intercettare un determinato evento (Blur, Click, Submit) ed eseguire un’apposita funzione JavaScript che verifichi la validità dei dati inseriti dall’utente. Al fine dello sfruttamento, gli hacker hanno creato una pagina Web che contiene un elemento iframe appositamente predisposto che ha costretto tutti gli utenti Facebook registrati che vi si recano a inserire messaggi canaglia sulla loro bacheca.

Il messaggio di spam lavorava per attirare gli utenti a visitare il sito "maligno", e gli hacker sono riusciti a creare un worm che si propagava autonomamente. Gli esperti di Symantec dicono che la vulnerabilità è stata sfruttata in attacchi sempre più limitati, prima di essere usata per lanciare il worm, ma fà notare anche che i copy-cats (imitatori) hanno seguito l'ondata iniziale. Alcuni browser hanno i filtri anti-XSS built-in per impostazione predefinita, ma non sono molto efficienti. L'unico che può bloccare un numero significativo di attacchi è incluso nell'estensione NoScript per Firefox.

NoScript è un componente aggiuntivo per il browser Firefox che consente di bloccare script sospetti o generati da siti potenzialmente pericolosi. E’ possibile definire una lista di domini sicuri e di domini giudicati non attendibili. Una volta installato tutti gli script javascript, Flash, Silverlight e anche alcuni eseguibili vengono automaticamente bloccati di default. Il worm XSS è stato usato frequente nel 2009, tuttavia, i siti di social media hanno cercato di fare del loro meglio per prevenire tali attacchi.

Nonostante ciò, alcuni continuano ad apparire di volta in volta. In realtà, l'ultimo che è stato lanciato su Facebook si è verificato all'inizio di questo mese ed è stato usato per diffondere spam di prodotti per la perdita peso. La vulnerabilità esisteva nella versione mobile delle API di Facebook a causa di insufficiente filtraggio JavaScript. Esso permetteva a qualsiasi sito web di includere, ad esempio, un elemento iframe maliziosamente preparato che conteneva JavaScript o utilizzava l'attributo http-equiv col valore "refresh" per reindirizzare il browser all'URL preparato contenente il JavaScript.

Qualsiasi utente che si registrava a Facebook e visitava un sito che conteneva un elemento del genere, inviava automaticamente un messaggio di posta arbitrario sulle bacheche, anche con connessione SSL attiva. Non c'era interazione con l'utente e le altre richieste, e non c'erano trucchi coinvolti, come il clickjacking. Bastava visitare un sito infetto e ciò era sufficiente per inviare un messaggio scelto dall'attaccante. Pertanto, non sorprendeva la veloce diffusione di alcuni di questi messaggi attraverso le bacheche di Facebook. Symantec ha individuato almeno 12 diversi attacchi.

Nel mese di ottobre dello scorso anno, dei ricercatori di sicurezza francesi hanno dimostrato come rubare informazioni attraverso worm che lavorava mettendo a frutto la falsificazione delle richieste cross-site e le vulnerabilità cross-site scripting su Facebook. Secondo Candid Wueest di Symantec, Facebook ha affrontato e risolto la vulnerabilità: " Facebook ci ha informati di aver patchato la vulnerabilità XSS. Inoltre, il team di sicurezza sta attualmente lavorando su come porre rimedio ai danni causati dagli attacchi", ha detto.

Il Cross-Site Scripting è uno dei principali problemi di qualsiasi servizio Web-based. Dal momento che i browser Web sostengono l'esecuzione di comandi incorporati nelle pagine Web per consentire pagine Web dinamiche, gli attaccanti possono fare uso di questa caratteristica per far rispettare l'esecuzione di codice dannoso nel browser Web di un utente. JavaScript è il linguaggio comunemente più usato in questo contesto. Se in modo abusivo, il furto di informazioni di autenticazione possono essere possibili permettendo agli hacker di agire nel quadro di un furto identità.

L'attacco si basa sulla possibilità di inserire il codice JavaScript "maligno" in pagine visualizzate ad altri utenti. Pertanto il filtraggio di codice JavaScript "maligno" è necessario per qualsiasi applicazione web. Questo articolo descrive il problema globale ed approfondisce le possibilità di filtrare le applicazioni web in Javascript. E' presentata anche una architettura di filtraggio che consente agli sviluppatori di applicazioni Web di filtrare JavaScript a seconda dell'applicazione, per ridurre il pericolo di successo degli attacchi Cross-Site Scripting.

Worm Facebook si propaga su bacheche e chat attraverso vulnerabilità XSS

Una vulnerabilità cross-site scripting su Facebook è stata sfruttata dagli hacker per creare un worm XSS con lo scopo di distribuire spam di prodotti per la perdita di peso. Secondo i ricercatori di sicurezza di Symantec che hanno analizzato l'attacco, la persistente vulnerabilità XSS leveraged è situata da qualche parte nel modulo di pubblicazione delle applicazioni.

Questo ha permesso agli  aggressori di iniettare codice JavaScript maligno in modo permanente tramite applicazioni di pagine Facebook canaglia, appositamente predisposte. Poiché le pagine sono risultate ospitate in Facebook.com, il codice canaglia è stato eseguito dal browser, nel contesto del dominio.

Normalmente la sceneggiatura dovrebbe essere rimossa dai filtri antispam prima che la pagina venga mostrata all'utente, ma in questo caso, è stata in grado di passarne attraverso. Lo script maligno sarà poi eseguito nel contesto di Facebook.com, che permette di effettuare le richieste quali la sessione dell'utente. Tenete a mente questo avviene prima che la domanda richieda alcuna autorizzazione.

Connessi a Facebook è sufficiente visitare la pagina appositamente predisposta per farla partire, come quando un utente visualizza dei nuovi messaggi. Questo ha permesso agli aggressori di agire alle spalle degli utenti autenticati e abusare di loro per eseguire azioni non autorizzate. I collegamenti alle pagine canaglia venivano distribuiti tramite messaggi privati ​​che recitavano:

"Hey, What the hell are you doing in this video? Is this dancing or what?? lol [link]" ("Ehi, che diavolo stai facendo in questo video? E' questa danza o cosa? lol [link]").  Secondo gli esperti di GFI Labs, agli utenti che hanno visitato la pagina con il video veniva richiesto un falso aggiornamento di Flash Player ed è stato chiesto loro di non interrompere il processo.

Questo è stato usato come una distrazione per guadagnare tempo per eseguire l'attacco vero. Mentre gli utenti rimanevano in attesa, sullo sfondo il codice JavaScript maligno otteneva il loro ID utente e costringeva il loro browser ad inviare aggiornamenti di stato che hanno promosso i prodotti di perdita di peso e iPad gratis.

"Questi collegamenti spam puntano a pagine innocue ma fastidiose. Visitare questi siti non infetta il vostro profilo, almeno non al momento della stesura di questo articolo", hanno scritto i ricercatori di Symantec. Il codice inserito permette di leggere anche la lista dei propri amici e manda messaggi privati, come quello già citato, al fine di autopropagarsi.

Anche se in questo caso non è stato utilizzato per scopi maligni, questo tipo di attacco è decisamente più pericoloso del solito sondaggio truffe o trucchi clickjacking utilizzati dagli spammer su Facebook. Lo script che viene avviato col rilascio nascosto di richieste AJAX per ottenere la pagina del profilo utente di Facebook.

Poiché l'utente è connesso ed ha una sessione valida, lo script può eseguire tutte le azioni necessarie per inviare un post, un classico attacco di sessione. In questo caso, sarà quello di postare un link ad alcuni siti di spam. Lo script inoltre assicura che venga inviato un solo messaggio alla volta per utente, controllando se vi è già un messaggio di spam visualizzato sulla bacheca dell'utente.

I messaggi inviati variavano e venivano aggiornati dall'utente malintenzionato. Tali script iniettato maligni hanno un elevato potenziale per fare qualunque tipo di danno. Si potrebbe modificare il vostro profilo o, come in questo caso, inviare i messaggi infetti, o forse anche aggiungere applicazioni o amici. Anche se la truffa per far qualcosa del genere avrebbe bisogno di risolvere un codice CAPTCHA, si potrebbe provare con un trucco di social engineering per chiedere all'utente di risolverlo. Questo esempio è solo un altro esempio di attacchi sofisticati che vediamo su Facebook ogni giorno.

Lo stesso sistema viene utilizzato anche per servire un sito di phishing Facebook con una falsa schermata di login. Così chiaramente gli attaccanti possono eseguire varie truffe. Fortunatamente non è stato individuato un nuovo attacco che sfrutta la vulnerabilità di iniezione da altri gruppi spam. Il team di sicurezza di Facebook è stata informata e sta lavorando per trovare una patch alla vulnerabilità in breve tempo. Misure sono già in atto per bloccare ogni ulteriore tentativo di sfruttamento della vulnerabilità.

Hacker sfida Facebook con un virus e poi Zuckerberg lo assume

Infastidisce Facebook e viene assunto dalla società. Non sapendo cosa fare, il 19enne Chris Putnam, studente dell’Università della Georgia, ha creato un virus ‘worm’ in grado di infastidire il social network creato da Mark Zuckerberg. Dopo le lamentele degli utenti, ovvero dopo meno di 24 ore, il giovane, attraverso codici e algoritmi ha attirato l’attenzione del miliardario più giovane del pianeta ed è stato assunto dal colosso di Palo Alto.

http://www.youtube.com/user/FastCompany

Ad aiutare il 19enne sono due amici, Marcel Laverdet e Kyle Stoneman, ma il protagonista è lui. Il virus si diffonde su Facebook con il suo nome, una richiesta di amicizia, e la modifica del profilo dell’utente che accetta. Da lì in poi la possibilità di intervenire sul profilo dell’utente. Putnam riesce ad infettare anche i profili di alcuni dipendenti della sede di Palo Alto. Digitando il nome di Chris Putnam su Facebook, appare una foto sfocata, e un "mi piace" sottoscritto da circa 30mila persone.

Putnam è un hacker nato nel 1988 che ha sfidato con un virus il grande social network. Il suo scopo non era infastidire Zuckerberg, ma farsi notare. La sua avventura ha inizio nel 2005 quando Chris, allora 19enne, studiava alla Georgia Southern University e insieme ai suoi due amici, decise di creare un worm che si replicava grazie a un exploit XSS (Samy XSS) tramite un campo non trattato correttamente.

http://www.facebook.com/

Il worm era in grado di fare tre cose: chiedeva l'amicizia all'account di Chris, si replicava nel profilo e cambiava la grafica del profilo dell'utente replicando fedelmente quella di MySpace. Il worm code JS/Spacehero-A si replicava di utente in utente in modo rapido e silenzioso, diffondendosi in modo virale attraverso gli amici che guardavano il profilo di qualcun altro.

I tre hacker potevano così modificare rapidamente lo script principale per produrre una serie di effetti a sorpresa sugli account che passavano sotto il loro controllo. "Era un lavoro che faceva molto effetto e riarrangiava tutti i campi del profilo in sgradevoli caselle di MySpace e schemi colorati", ha raccontato Putnam.

Questo li rendeva però facilmente rintracciabili. In meno di 24 ore dal rilascio del worm, Putnam venne contattato da Dustin Moscovitz, uno dei co-fondatori di Facebook. Con la diffusione del virus gli utenti contagiati avevano cominciato subito a lamentarsi. Anche numerosi dipendenti di Facebook erano stati infettati, incluso un account interno di prova chiamato The Creator.

http://www.whitehatsec.com/

Come ha poi spiegato Putnam, il 'creatore' non era Zuckerberg: "Ma abbiamo immaginato che anche lui fosse stato costretto a fare il punto e avesse considerato l'operazione uno straordinario successo". In meno di un giorno Putnam fu invitato da Moscovitz a presentarsi alla sede di Palo Alto di Facebook. Questo non prima di un lungo scambio di messaggi.

"Il fatto che Moskovitz conoscesse la mia identità non fu una grande sorpresa dal momento che l'interazione del worm con il mio account era scontata. Anzi eravamo arrivati a fornire delle informazioni su come contattarci", ha raccontato Putman. La reazione di Moskovitz fu comunque divertita.

"Hey tutto questo è divertente, ma sembrerebbe che tu stia cancellando le informazioni sui contatti dai profili degli utenti quando il worm si replica nuovamente. E così non è bello". In cambio di tanta compiacenza, Putnam iniziò a rivelare il worm nei dettagli insieme ai punti deboli che aveva identificato nel social network.

http://www.allfacebook.com/

Dopo circa un mese gli fu chiesto se volesse lavorare per Facebook. La Rete segue percorsi e colloqui di lavoro senza regole. Putnam era spaventato. In quel periodo un altro hacker era stato arrestato dopo aver fatto la stessa cosa. Un virus per MySpace, la promessa del social network all'assunzione e dopo l'invito, la prigione. "Quando arrivai alla sede, al secondo piano dovevo incontrarmi con Dustin. Ero teso ma quando la porta si aprì e trovai Moskovitz e non i poliziotti in piedi di fronte a me".

Putnam fu assunto e iniziò a lavorare per Facebook pochi giorni dopo il colloquio. Le sue pagine preferite sono Facebbok (un profilo nel profilo), Facebook Engineering e una pagina sulle "uova di pasqua": easter eggs che in realtà sono un regalo segreto dentro i programmi, ovvero dei codici segreti (http://20bits.com/articles/easter-eggs-in-facebook-chat/) che i programmatori inseriscono all'interno dei loro programmi e che non sono menzionati nei manuali ufficiali.

In genere vengono usati dai programmatori per scrivere segretamente i loro nomi. Per vedere un easter egg bisogna conoscere delle sequenze di tasti o operazioni da compiere. Presso alcune società di software l'inserimento di queste "sorprese" è permesso. Così, tra i simpaticissimi scherzi da hacker, nella lista delle emoticon di Facebook, ce n'è una dedicata proprio a Chris Putnam, è la 'Weird face' (e si richiama digitando :putnam:).

"Sarò sempre grato a Facebook e alla sua passione per gli ingegneri stravaganti e con un passato da hacker", ha raccontato l'ingegnere in un'intervista in Rete, abbastanza in superficie perché a noi fosse possibile riportarla sulla terra. Oggi lavora insieme al suo amico Marcel Laverdet insieme allo staff del Social Network più famoso del mondo. E' uno degli ingegneri del sito, partecipa regolarmente a forum da nerds assoluti, come Somethingawful.com, dove è abbastanza famoso. Trovate il documento in formato PDF dell'intero procedimento e del codice exploit a questa pagina.

Photo, il virus che attraverso la chat di Facebook infetta i computer

Dopo il famigerato Worm Koobface, l'infezione che per anni ha tormentato gli utenti di Facebook e sconfitta dal team di sicurezza del social network, sta assumendo dimensioni notevoli la diffusione di un nuovo Worm, che viola gli account ed infetta i computer, diffondendosi attraverso messaggi in chat degli amici ingnari. A differenza della maggior parte delle truffe Facebook riportate, questa infetta attivamente il computer con malware anziché trattarsi d'un semplice imbroglio. Inoltre, diversamente dal Worm Koobface, che si diffondeva attraverso i messaggi di posta, sono state create anche delle applicazioni.

Mentre siete online sulla chat di Facebook, vi si può aprire la finestra di dialogo di un vostro contatto amico contenente messaggi  che indicano una apps.facebook.com. In particolare il messaggio è del tipo: Foto :D :D http://apps.facebook.com/ [NOME] /photo.php?= [ID APP]. In genere quando si va a una pagina di applicazione su Facebook viene richiesto di aggiungere l'applicazione e concedergli il permesso di pubblicare sul vostro account o leggere i dati del profilo. La faccenda preoccupante è che su questa si chiede immediatamente di scaricare un "FacebookPhotos #####. exe" senza chiedere conferma o cliccando su eventuali richieste.

Sull schermo si legge: "Photo has been moved. This photo has been moved  click View Photo cto redirect to photo", cioè "La Photo è stata spostata. Questa foto è stata spostata in altra posizione. Per visualizzare questa foto scegliere Visualizza Foto". Se il computer non ha già scaricato il malware, sarà il pulsante "Mostra fotografia" a scaricare il virus. Un buon software antivirus aggiornato alle ultime firme e modulo HIPS per la protezione proattiva, dovrebbe rilevare la minaccia prima della sua installazione. Il ceppo particolare di questo nuovo Worm è stato identificato da Sophos come W32/Palevo-BB.

Se il vostro antivirus ha rilevato il malware (non si tratta d'una foto ma naturalmente d'un file eseguibile .exe), possiamo decidere di eliminarlo o metterlo in quarantena per una successiva analisi. Come abbiamo detto si tratta di una variante dell'ormai famoso Worm Palevo. Palevo si diffonde cliccando sui link di evidente spam che vi arrivano automaticamente (tramite i servizi di messaggistica istantanea - il più noto Messenger) dai vostri amici che a loro volta hanno contratto il Worm, invitandovi a visualizzare questa o quella pagina che contiene questa o quella cosa. In questo caso è la messaggistica istantanea su Facebook a veicolare il virus tra gli utenti.

Se comunque il worm ha avuto la possibilità di installarsi potete utilizzare il programma Malwarebytes. Nel caso aveste ricevuto messaggi simili da amici, avvertite gli stessi del pericolo che stanno correndo e invitateli ad effettuare una bonifica del loro sistema. Una buona notizia è che Facebook sta rimuovendo le applicazioni dannose (per esempio questa http://www.facebook.com/apps/application.php?id=127295694003394) dal suo servizio. Ma ci sono molte altre applicazioni come questa in giro ancora attive, dunque, come sempre, prestate attenzione ai messaggi insoliti da parte di amici sia in e-mail, sulle loro bacheche, o in un messaggio immediato.

Ransomware prende in ostaggio il computer bloccando l'accesso a Facebook

Una nuova versione del worm di messaggistica istantanea (IM) Yimfoca blocca l'accesso a Facebook e chiede alla vittima di completare delle indagini prima di essere ammesso sul sito web. Secondo i ricercatori di Symantec, quando si cerca di aprire facebook.com in Internet Explorer, gli utenti infetti vengono accolti da un pop-up che recita: "Il tuo account è stato sospeso per indagini. Per rendere il vostro account attivo è necessario completarne una di queste".

Virus su Facebook attraverso la chat e false pagine esterne, la rimozione

Ingegneria sociale in tempo reale online. Continuano gli attacchi di phishing agli utenti del social network più grande del Web. Dopo l'ondata di falsi messaggi attraverso la posta elettronica, un nuovo pericolo minaccia gli iscritti di Facebook ed arriva dalla chat, da un amico che ha il sistema già infettato e al quale sono stati già sottratti i dati di login. Così come avviene per la posta indesiderata (spamming), potreste ricevere anche messaggi immediati indesiderati (chiamati "spim"), inviati da persone note (amici) con cui però non potete comunicare.

Questi messaggi possono perfino contenere virus. E c'è una nuova truffa che sta girando liberamente su Facebook e alla quale gli utenti dovrebbero stare attenti. La truffa sfrutta la chat di Facebook ed i messaggi infetti contenengono URL che rimandano ad una pagina web che imita il sito di Facebook, ma - in realtà - il sito in questione viene gestito dallo stesso phisher. Attualmente, questo stesso sistema sta prolificando grazie alla chat di Facebook.

In questi ultimo caso, a contattare l’utente non è il phisher, ma uno dei suoi contatti. Alcuni virus, infatti, vengono sviluppati al solo scopo di penetrare nei computer di ignari utenti ed inviare questo genere di messaggi ai loro contatti sui social media. In sostanza, gli utenti vengono contattati dai loro amici e vengono invitati a visionare una certa pagina seguendo un link. Se, infatti, improvvisamente, mentre siete online sulla chat di Facebook, vi si apre la finestra di dialogo di un vostro contatto amico (che risulta offline) contenente messaggi del tipo:

Foto :D http://www.facebook.com/l.php?u=http://birdiecam.us/photo/

Foto :D http://www.facebook.com/l.php?u=http://mundogl.com/photo/

Foto  :D http://www.facebook.com/l.php?u=http://dejonk.de/f/

Foto :D http://www.facebook.com/l.php?u=http://hiwa.tv/photo/

Foto :D http://www.facebook.com/l.php?u=balihello.net/img

Foto :D http://www.facebook.com/l.php?u=gasbian.com/images/

Foto :D http://www.facebook.com/l.php?u=www.acoplasticos.org/crm

che vi invitano a cliccare su un link per vedere una foto, si tratta di messaggi inviati involontariamente dal vostro amico. Sul computer del vostro amico è stato scaricato un software dannoso, ed è possibile che le sue informazioni di accesso siano state oggetto di un'azione di phishing mirata a inviare spam dal suo profilo. Se si clicca su uno dei due link proposti, si viene rimandati ad una pagina che ripropone perfettamente il sito di Facebook.

A questo punto ci avvertono che la foto non è più disponibile perchè è stata spostata altrove e si viene invitati a cliccare su un pulsante (simile a quello che troviamo su Facebook per accedere a certe funzionalità) per poter visualizzare la foto. Se clicchiamo sul pulsante, in realtà non visualizzeremo alcuna foto ma avvieremo il download d'un file eseguibile (n11975310_09.JPG-www.facebook.exe) che consiste nel vero e proprio malware, pronto ad infettare il nostro sistema.

Si tratta dell'ormai famoso Worm Palevo, la cui variante originale è stata scoperta tempo fa da BitDefender (nota società che si occupa di software per la sicurezza informatica). Palevo si diffonde cliccando sui link di evidente spam che vi arrivano automaticamente (tramite i servizi di messaggistica istantanea - il più noto Messenger) dai vostri amici che a loro volta hanno contratto il Palevo, invitandovi a visualizzare questa o quella pagina che contiene questa o quella cosa. In questo caso è la messaggistica istantanea su Facebook ad essere veicolo di phishing. Il worm Palevo crea una voce di registro senza il consenso dell'utente. Gli antivirus aggiornati dovrebbero rilevarlo automaticamente e bloccarlo.

Se comunque il worm ha avuto la possibilità di installarsi (potete effettuare un controllo tramite lo strumento gratuito di verifica disponibile su MalwareCity.com) potete scaricare ed eseguire il nuovo strumento gratuito di rimozione Palevo creato da recente dai laboratori di sicurezza di BitDefender. In alternativa potete utilizzare il programma Malwarebytes, recentemente aggiornato alla versione 1.50. Nel caso aveste ricevuto messaggi simili da amici, avvertite gli stessi del pericolo che stanno correndo e invitateli ad effettuare una bonifica del sistema, nonchè a modificare le loro password di accesso a tutti i servizi online.

Facebook sviluppa nuovi sistemi antimalware contro Koobface

Un amico su Facebook suggerisce di guardare un video divertente o incredibilmente sexy. Il collegamento può sembrare abbastanza innocuo. Ma con un semplice click, si potrebbe finire per infettare il PC con il worm Koobface. Koobface, il cui nome è un anagramma della sua rete sociale preferita, è un programma dannoso che ha oppresso Facebook per più di due anni, capace di intrappolare centinaia di migliaia di persone e di mantenere alta la difesa del team di sicurezza.

Il worm è stato la prima sfida importante alla sicurezza di Facebook e resta la minaccia più persistente sul sito. Come tale, Koobface ha giocato un ruolo importante nel plasmare Facebook sull'approccio alla lotta contro il software dannoso o malware, e spinto lo sviluppo di difese sempre più elaborate. Eppure, il worm continua ad essere una spina nel fianco degli investigatori di Facebook in-house, che dicono di essere sulle tracce del gruppo criminale organizzato che l'ha creato ma, finora, è stata negata la soddisfazione degli arresti. Koobface, che si diffonde soltanto sui social network, è apparso su Facebook nel maggio 2008 e ha colpito quasi tutti i maggiori social network da allora. Pur non essendo il primo worm nato solo per colpire i siti sociali, si distingue per il modo in cui è inesorabilmente tornato nuovamente, in particolare su Facebook. Ci sono state ben 136 versioni del componente principale di Koobface, ha detto Ryan R. Flores, un ricercatore della security software company di Trend Micro. Continuamente adeguatosi agli ostacoli istituiti dal settore sicurezza Facebook, "Koobface è quello che lo ha reso grande" ha detto. Gli attacchi hanno spinto Facebook ad ampliare il proprio team di sicurezza, di sviluppare un apparato per la rapida individuazione e l'arresto di attività dannose, di creare strumenti per parlare con i propri utenti circa la sicurezza e per costruire relazioni all'interno del settore della sicurezza. E l'azienda continua a raccogliere prove che possano aiutare l'arresto dell'applicazione e perseguire i responsabili secondo la legge. "Il nostro obiettivo in materia di Koobface è quello di assicurare lo stop del danno, è questa è la nostra priorità numero 1", ha detto Joe Sullivan, Chief Security Officer di Facebook. "Vogliamo che il messaggio esca fuori ed aggressivi andremo all'attacco in questi tipi di casi".

La dimostrazione di forza viene dopo che Nick Bilogorskiy, un esperto di malware su Facebook, ha parlato in una conferenza industriale sulla sicurezza nel mese di settembre, sul fatto che Facebook conosce l'identità dei creatori Koobface e sta lavorando con le forze dell'ordine. Sullivan ha rifiutato di fornire ulteriori dettagli, citando una politica aziendale che non discute sulle indagini. La mancanza di arresti sottolinea quanto sia difficile di trovare e catturare i criminali online, che spesso nascondono le loro tracce e vivono in paesi in cui hanno poco da temere dalla legge. I ricercatori di Information Warfare Monitor, un gruppo canadese, ha pubblicato un rapporto dettagliato sull'impresa criminale Koobface, dicendo che i suoi gestori vivono a San Pietroburgo, Russia. "La banda Koobface potrebbe vivere anche su Marte, talmente poco sviluppati sono i meccanismi di cooperazione per l'applicazione del diritto internazionale", ha scritto Ron Deibert e Rafal Rohozinski nella relazione. Nart Villeneuve, ricercatore principale del rapporto, ha stimato che il gruppo ha guadagnato più di 2 milioni di dollari da giugno 2009 a giugno 2010, fornendo le vittime del suo verme di marketing senza scrupoli e responsabili di falsi software antivirus. Ha detto che il rilascio del rapporto ha coinciso con uno sforzo multiweek per smantellare le infrastrutture del gruppo e togliere le "botnet", o la rete di PC infettati da Koobface, anche se ha ammesso che può essere ricostruito. Con il gruppo ancora in libertà, Facebook può solo limitare i danni agendo velocemente per fermare gli attacchi. La squadra di sicurezza della società ha circa 20 membri, ma in qualsiasi momento, circa 50 dipendenti di Facebook da diversi reparti si concentrano su questi problemi.

"Quando si tratta di malware, è una specie di sforzo a livello aziendale, perché è uno delle nostri maggiori minacce", ha detto Sullivan, che ha trascorso otto anni come procuratore con il Dipartimento di Giustizia ed è stato il suo procuratore prima di concentrarsi a tempo pieno alla criminalità tecnologica, in stretta collaborazione con l'FBI ed altre agenzie. Un attacco di Koobface inizia con un invito a guardare un video e un messaggio riguardante l'aggiornamento del software Flash del computer. Si fa clic per scaricare l'aggiornamento ed inizia il download di Koobface, che permette ai criminali di controllare il computer, mentre il worm cerca di diffondersi ulteriormente attraverso la rete di contatti sociali della vittima. Il computer diventa quindi parte della botnet Koobface, che la società di software di sicurezza Kaspersky Lab stima sia costituito da 400.000 a 800.000 PC in tutto il mondo. "Questo rende sicuramente Koobface una delle botnet più significative là fuori", ha dichiarato Roel Schouwenberg, ricercatore senior. Per fermare Koobface, Facebook utilizza algoritmi in grado di rilevare i messaggi sospetti e sequestrando gli account, alla ricerca di comportamenti insoliti come log-in da posti strani e un forte aumento nei messaggi inviati. Facebook mantiene anche una lista nera di collegamenti Web dannosi per impedire loro di essere condivisi sul sito. Quando i messaggi Koobface trovano un modo diverso, i membri del team operativo li rimuovono. Tutto questo avviene in genere entro un'ora o poco più dai post sospetti, il signor Sullivan ha detto. "Lo scopo di un social network è quello di contribuire a facilitare la comunicazione. Così come risultato, c'è la potenziale veloce propagazione se non ci si muove velocemente". Facebook ha anche sistemi per individuare i profili fake il gruppo utilizzati per gli attacchi. Ancora, i ricercatori hanno recentemente identificato più di 20.000 account falsi, che hanno segnalato a Facebook come parte dello sforzo della rimozione.

I profili tendono a includere le immagini di donne attraenti, e alcuni accumulato fino a un migliaio di "amici", anche se Facebook avverte gli utenti di non fare amicizia con gli estranei sul sito. Gli sviluppatori di Facebook hanno creato posti di blocco che possono aiutare a fermare gli attacchi. Per esempio, se Facebook rileva attività dannose e sospette sul PC di un utente che è stato infettato, sarà temporaneamente sospeso l'account e verrà richiesto all'utente di eseguire una scansione antivirus gratuita di McAfee e rimuovere le infezioni. Le garanzie non sono sempre infallibili. Il gruppo di Koobface è riuscito ad aggirare prove "Captcha", o requisiti per scrivere parole che sono difficili per le macchine da leggere, ingannando le proprie vittime. Alcuni nel settore della sicurezza hanno espresso frustrazione per la mancanza di progressi nel caso di Koobface. Mr. Rohozinski detto che il suo gruppo ha deciso di parlare al pubblico con le sue conclusioni dopo essersi convinto che non ci sarebbe nessun arresto. Sullivan sta adottando un approccio più paziente. "La velocità con le quali indagini e azioni penali muovono, a volte possono sembrare da fuori lente", ha detto. Se gli ostacoli sono reali - la raccolta di prove al di là delle frontiere è particolarmente lunga in termini di tempo - l'applicazione della legge americana è impegnata a combattere la criminalità internazionale su Internet, ha detto. Raymond A. Pompon, responsabile della sicurezza senior di HCL CapitalStream, che fornisce servizi elettronici per le istituzioni finanziarie, ha detto che tali procedimenti penali si sono rivelati difficili. "Spesso si riesce a sapere chi è, ma in realtà non si hanno le prove su questa persona". Se o quando il tempo per il procedimento penale verrà, per Facebook è improbabile da sapere. Ha comunque perseguito un certo numero di cause civili contro gli spammer e truffatori che hanno portato a registrare giudizi. "Siamo abbastanza inarrestabili", ha concluso Sullivan.

Fonte: http://www.nytimes.com/

Palevo, il ladro di password che attacca i canali P2P, IM e Facebook

Molti malware, per propagarsi, utilizzano canali di comunicazione quali la messaggistica istantanea, oppure i programmi per la condivisione dei file. Il worm Palevo è uno dei principali rappresentanti di questa famiglia di virus. A differenza di altri virus simili, però, Palevo è in grado di sfruttare anche una vulnerabilità presente nei sistemi operativi Windows che, se non corretta mediante la patch MS08-067 rilasciata da Microsoft, consente di trasformare il pc in un server controllabile da remoto.

Social game su Facebook usati da cybercriminali per truffe e attacchi on line

I social games sono attualmente molto popolari nella comunità online, e contano 200 milioni di utenti che ogni mese, in tutto il mondo, giocano attraverso il sito di social networking Facebook. La sua applicazione più popolare è Farmville, utilizzata da circa 70 milioni di persone. Questo nuovo mondo di giochi on line, tuttavia, può contenere dei pericoli nascosti. La settimana scorsa, per esempio, la società americana che produce Farmville, la Zynga, è stata costretta a sospendere un offerta ingannevole di abbonamenti di telefonia mobile e altre offerte truffa che incoraggiavano i giocatori di Farmville a sottoscrivere contratti in cambio di “crediti Farmville”.

Worm su Facebook si diffonde viralmente: 'docente ha quasi ucciso questo ragazzo'

Questo attacco si sta diffondendo rapidamente su Facebook proprio adesso, attraverso lo spamming dei collegamenti postati dagli utenti che ne sono caduti vittima.

Tag: Video Worm Facebook, Facebook Worm, Video Worm, Sophos

I cybercriminali sfruttano i social network per attaccare i navigatori

E' ormai noto che i social network sono un terreno fertile per i criminali informatici, dal momento che i membri ripongono fiducia negli altri membri e, spesso, si dimenticano di prendere le dovute precauzioni per prevenire la diffusione di malware e di virus. A lanciare l'allarme è Cisco nel suo Annual Security Report 2009, che analizza l’impatto dei social media, e in particolare delle applicazioni di social networking, sulla sicurezza della Rete evidenziando il ruolo fondamentale che le persone, e non la tecnologia, hanno nel creare opportunità per i criminali informatici. 

In particolare, a risultare devastante è la combinazione tra piccole vulnerabilità, comportamenti incauti degli utenti e software di sicurezza non aggiornati. Il report di Cisco passa in rassegna alcuni dei "casi" più eclatanti del 2009, dividendoli in tre categorie.

1. Operazione criminale più audace: Zeus. Un trojan che diffonde malware attraverso phishing mirato e download drive-by, Zeus va oltre login e password per impadronirsi dei dati bancari. Alcuni toolkit permettono la creazione di varianti di Zeus che sono di difficile individuazione per i programmi antivirus. Nel 2009 la botnet Zeus ha infettato circa 4 milioni di computer nel mondo.
2. Cybercrime "Sign of Hope": Il gruppo di lavoro Conficker. Questo gruppo, che è composto da membri che si occupano di sicurezza, ha il merito di aver mutato in modo significativo l’impatto del worm Conficker, accreditato come causa di distruzione a partire dal 1 aprile 2009.
3. Innovazione criminale più famosa: Koobface. Questo worm si è autorigenerato, apparendo prima su Facebook nel 2008 e in seguito su Twitter nel 2009. Koobface invita gli utenti a cliccare su un link a un video YouTube, che lancia il worm. Oltre 3 milioni di computer sono stati infettati da varianti di questo malware.

Se i cybercriminali cercano nuove vittime sui social network, lo spam è comunque ancora il mezzo più usato per ingannare i navigatori, inducendoli a scaricare malware acquistando, ad esempio, falsi prodotti farmaceutici. L’Annual Security Report prevede che, nel 2010, il volume degli spam aumenterà con una percentuale che va dal 30 al 40 percento nel mondo rispetto al 2009. 

Inoltre è prevista una massiccia diffusione di Trojan Zeus bancari e di altri exploit web di semplice implementazione. Scareware, spyware, click fraud, e spam a soggetto farmaceutico continueranno ad essere di grande attualità; da tenere sotto controllo gli exploit volti a colpire le applicazioni di social networking, come il worm Koobface.

Per finire preoccupa poi - scrive Affaritaliani - la sempre maggiore diffusione del cosiddetto cloud computing. L’Annual Security Report consiglia alle aziende, che intendono esternalizzare i servizi, di richiedere ai fornitori ampie garanzie sulle misure di sicurezza in essere. Un nuovo consorzio che comprende importanti vendor come Cisco, Ibm , Emc e Microsoft cercherà di rimuovere le barriere che impedisono alle imprese di abbracciare il cloud computing.