Torna alla lista delle notizie
6 febbraio 2013
Allo scopo di diffondere i programmi malevoli, i cybercriminali hanno creato su Facebook molti gruppi tematici, chiamati Videos Mega o Mega Videos: il 5 febbraio 2013 ve ne erano alcune centinaia. In ciascun gruppo, i malintenzionati hanno collocato un collegamento, mascherato da un filmato, che conduce a un’applicazione di Facebook progettata per assimilare un codice HTML arbitrario in una pagina web. Se il visitatore del gruppo clicca sull’immagine diminuita del filmato, si attiva lo scenario predisposto dai malintenzionati. Come risposta all’azione dell’utente, si apre una finestra di dialogo con la proposta di aggiornare il lettore video incorporato nel browser. L’aspetto della finestra fraudolenta imita quello delle pagine di Facebook.
Se l’utente acconsente a installare l’aggiornamento, sul suo computer si scarica un archivio autoestraente che contiene il programma malevolo Trojan.DownLoader8.5385. Questo trojan (come pure gli altri componenti che esso scarica in seguito) ha una firma digitale legittima, rilasciata dalla società Comodo all’azienda Updates LTD, perciò le applicazioni malevoli non suscitano sospetti da parte del sistema operativo durante l’installazione.
Trojan.DownLoader8.5385 è un downloader tradizionale, il cui compito principale è scaricare e avviare sul computer compromesso altri programmi malevoli. In questo caso, il trojan scarica estensioni per i browser Google Chrome e Mozilla Firefox, progettate per inviare in massa inviti ad aderire a diversi gruppi su Facebook e per attivare automaticamente l’opzione “Mi piace” sulle pagine del social network. Tra le altre funzioni, queste estensioni malevole possono:
- ottenere informazioni degli utenti inseriti nell’elenco amici Facebook della vittima;
- attivare “Mi piace” sulle pagine di Facebook o ai collegamenti esterni;
- aprire l’accesso a un album fotografico sulla pagina target;
- aderire ai gruppi;
- spedire agli utenti dall’elenco amici inviti ad aderire a un gruppo;
- pubblicare collegamenti in bacheca;
- cambiare status;
- aprire finestre di chat;
- seguire pagine di eventi;
- spedire inviti a eventi;
- pubblicare commenti su post;
- ricevere e inviare richieste.
Il file di configurazione contenente tutti i dati necessari per il funzionamento delle estensioni si scarica sul computer dal server dei malintenzionati. Secondo la classificazione applicata nel software Dr.Web, queste estensioni sono state chiamate Trojan.Facebook.310.
Oltre a queste estensioni, il downloader Trojan.DownLoader8.5385 installa sul computer compromesso il malware BackDoor.IRC.Bot.2344, il quale può unire in botnet le postazioni infette. Questo malware realizza funzioni di backdoor e può eseguire comandi trasmessi per il protocollo IRC (Internet Relay Chat), un protocollo di scambio di messaggi testuali. Per ricevere comandi, il bot si collega a un canale di chat appositamente creato dai cybercriminali. Tra i comandi che possono essere eseguiti da BackDoor.IRC.Bot.2344, possiamo segnalare i seguenti:
- eseguire comandi dell’interprete dei comandi CMD;
- scaricare un file da un URL prefissato e metterlo in una definita cartella locale;
- controllare se sia in esecuzione un processo indicato nel comando;
- trasferire al server remoto l’elenco dei processi in esecuzione, generato dall’utility di sistema tasklist.exe;
- fermare un processo determinato;
- avviare un’applicazione arbitraria;
- scaricare dall’URL determinato e installare l’estensione per Google Chrome.
Pertanto, possiamo concludere che la corrente policy di sicurezza di Facebook relativa alle applicazioni incorporate facilita la diffusione dei cavalli di troia. Tutti i programmi malevoli sopraindicati sono stati aggiunti alle basi di dati delle firme antivirali, quindi il software Dr.Web è in grado di proteggere in modo sicuro i computer dei nostri utenti. Doctor Web consiglia di essere prudenti visitando gruppi su Facebook e di installare sul computer solo gli aggiornamenti scaricati da fonti attendibili.
La tua opinione conta per noi
Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.
Altri commenti