16 maggio 2013

Doctor Web — produttore del software antivirus Dr.Web — ha scoperto nuove funzioni dannose nel programma malevolo per Facebook di cui molte riviste hanno già scritto sulla Rete. Trojan.Facebook.311 può pubblicare nuovi status all’insaputa dell’utente, aderire a gruppi, lasciare commenti e anche spedire messaggi indesiderati in Twitter e Google Plus.

Trojan.Facebook.311 è un’estensione scritta in JavaScript con versioni per Google Chrome e Mozilla Firefox. I truffatori cercano di diffondere il malware adoperando metodi del social engineering. Così il programma malevolo si intrufola nel sistema operativo attraverso un installer che si maschera da “un aggiornamento di sicurezza per la riproduzione del video”. Va notato che l’installer dispone di una firma digitale, quella della società Updates LTD posseduta da Comodo. Le estensioni si chiamano Chrome Service Pack e Mozilla Service Pack. Ai fini della diffusione, i truffatori di rete hanno creato una pagina web speciale, redatta in lingua portoghese, probabilmente orientata agli utenti di Facebook in Brasile.

Completata l’installazione, al momento dell’avvio del browser, Trojan.Facebook.311 cerca di scaricare dal server remoto dei malintenzionati un file contenente una serie di comandi. In seguito, le estensioni malevole incorporate nel browser aspettano il momento in cui l’utente accede a Facebook. Dopo l’autenticazione dell’utente in Facebook, le estensioni possono cominciare a eseguire a nome dell’utente diverse azioni che dipendono dai comandi definiti dai pirati informatici nel file di configurazione relativo. Le possibilità sono: mettere “Mi piace”, pubblicare uno status, collocare una notizia sulla bacheca, aderire a un gruppo, commentare una notizia, invitare a un gruppo gli utenti inclusi tra i contatti della vittima o mandare loro messaggi. Oltre a questo, secondo un comando dei malintenzionati, il malware può scaricare e installare nuove versioni delle estensioni e anche interagire con Twitter e Google Plus, in particolare, inviarci messaggi di spam.

Recentemente, Trojan.Facebook.311 diffondeva su Facebook messaggi contenenti un’immagine che imita un lettore multimediale incorporato nel browser. Se l’utente fa clic su tale immagine, viene reindirizzato verso varie risorse web fraudolente. Inoltre, tramite messaggi personali e status, il trojan pubblicizzava quiz in cui sarebbe possibile vincere premi di valore.

La firma antivirale di questo trojan è stata inserita nel database di Dr.Web quindi la minaccia non può compromettere computer dei nostri utenti. Nonostante il target attuale di Trojan.Facebook.311 (presumibilmente Brasile), lo stesso schema di propagazione potrebbe essere impiegato anche per imbrogliare gli utenti di Facebook in altri paesi. Il team di Doctor Web Vi consiglia di stare attenti e di non scaricare, né installare applicazioni o “aggiornamenti di sicurezza” per browser che suscitano il Vostro sospetto.