16 ottobre 2015

Gli ammiratori delle serie televisive spesso si interessano alle news legate ai personaggi e attori preferiti. I malintenzionati talvolta sfruttano quest'interesse per propagare diversi programmi malevoli. Gli specialisti dell'azienda antivirus Doctor Web hanno scoperto un trojan che mette a rischio i dispositivi degli ammiratori di una popolare serie televisiva russa, e in particolare questo programma malevolo si maschera da un'utility antivirus di un noto sviluppatore.

Il trojan, denominato il Trojan.BPLug.1041, è stato scoperto quando si è passati dai risultati della ricerca di Google sulla pagina hackerata di un canale televisivo russo, dedicata a una popolare serie televisiva russa. In seguito è emerso che erano state compromesse alcune altre risorse Internet, incluse pagine legate a spettacoli televisivi. Se l'utente passa al sito compromesso da un altro dominio, e se sono soddisfatte alcune condizioni (l'uso di un SO a 32 bit della famiglia Windows o di un SO della famiglia Mac OS X con l'architettura Intel e di un browser diverso da Opera), lo script malevolo apre una pagina dei pirati nella scheda da cui si è passati a questo sito. Un apposito gestore incorporato nel codice di questa pagina web non consente di chiudere questa scheda e se l'utente preme tasti sulla tastiera o fa clic con il mouse, il programma visualizza sullo schermo una fastidiosa finestra che offre di installare una certa estensione di browser. Questa estensione, secondo i truffatori, sarebbe un'utility creata da una nota azienda-produttrice di software antivirus.

Nel corso dell'installazione questo plugin richiede di concedergli una serie di permessi specifici e dopo l'installazione è presente nella lista delle estensioni installate di Chrome come "Scudo di sicurezza KIS".

Il plugin, rilevato dall'Antivirus Dr.Web come ilTrojan.BPLug.1041, comprende in sé due file offuscati scritti nel linguaggio JavaScript. Il code injection è lo scopo principale del trojan, cioè il programma integra contenuti estranei nelle pagine web che l'utente apre nel browser. Inoltre, su tutti i siti il programma malevolo blocca la visualizzazione di annunci di terzi da ogni dominio tranne quelli inclusi in una lista all'interno della sua configurazione.

La visualizzazione della pubblicità viene attuata da una funzione separata attraverso cui il trojan analizza i contenuti della pagina web aperta dall'utente. Se i contenuti sono pornografici, il Trojan.BPLug.1041 carica la relativa pubblicità da due reti separate. Inoltre, l'estensione contiene una lista dei siti su cui il trojan non visualizza pubblicità, tra di essi — fsb.ru, gov.ru, government.ru, mos.ru, gosuslugi.ru e alcuni altri. Il Trojan.BPLug.1041 manda sul server dei malintenzionati le informazioni circa le altre estensioni di Chrome installate sul computer infetto. Il server può indicare al trojan quali estensioni vanno disattivate.

Se l'utente si è autenticato in "Odnoklassniki", il Trojan.BPLug.1041 tenta di concedere a una determinata applicazione l'accesso all'API di questo social network dall'account della vittima tramite l'autenticazione per il protocollo OAuth. Nel corso dell'autenticazione, vengono richiesti i privilegi per la modifica dello status, per la modifica, la visualizzazione e il caricamento di fotografie, per la modifica e l'invio di messaggi a nome dell'utente, nonché alcuni altri. Possiamo ipotizzare che queste funzionalità vengano utilizzate dai malintenzionati a vari scopi pubblicitari - per esempio per promuovere gruppi, inviare spam o per qualche sondaggio.

È interessante che nel negozio online di Chrome ci siano tre estensioni con il nome "Scudo di sicurezza KIS" create dallo stesso autore, però due di esse non sono operative per motivi diversi. Il numero totale di installazioni di tutte e tre estensioni per il momento supera trentamila.

Gli specialisti Doctor Web mettono in guardia gli utenti contro il download e l'installazione di estensioni che suscitano sospetto, ottenute da fonti non attendibili. Se nella finestra del browser è apparsa tale scheda che ostacola la propria chiusura, si può utilizzare il Task Manager disponibile nel menu di Google Chrome e terminare il rispettivo processo del browser. La firma antivirale del Trojan.BPLug.1041 è stata aggiunta ai database dei virus Dr.Web e il sito da cui si propaga questo trojan è stato aggiunto ai database delle risorse Internet sconsigliabili per visite. Gli amministratori dei siti hackerati sono stati tempestivamente informati del problema.