29 aprile 2016

Attualmente Facebook è uno dei social network più popolari del mondo e perciò attira incessantemente l'interesse dei malintenzionati. Gli analisti dei virus Doctor Web informano che un plugin malevolo per il browser Google Chrome, capace di inviare spam su Facebook, è stato per il momento installato da oltre 12.000 utenti del social network.

L'antivirus Dr.Web riconosce il plugin malevolo per Google Chrome sotto il nome di Trojan.BPlug.1074. Se un utente di Chrome in cui il plugin è installato accede a Facebook, il malware Trojan.BPlug.1074 determina l'identificatore dell'utente (UID) e modifica l'aspetto esteriore del sito del social network nella finestra del browser: cioè rimuove il menu "Configurazione rapida della privacy", che si apre tramite un pulsante nella parte superiore destra della pagina di Facebook, e anche tutti gli altri menu a discesa che possono essere visualizzati nell'interfaccia del social network. Quindi il trojan ottiene la lista degli amici della vittima.

In seguito Trojan.BPlug.1074 crea automaticamente una nuova pagina di comunità di cui il nome viene generato in maniera automatica. Utilizzando l'ID della comunità, la foto della vittima, impostata come l'avatar, e l'indirizzo di una pagina web, estratto dal proprio file di configurazione, il trojan genera un post del genere "condivisione di un link" e con un determinato intervallo di tempo lo pubblica nella sua bacheca. Siccome il trojan "menziona" nel post tutti gli amici dell'utente corrente dalla lista precedentemente ottenuta, questo messaggio viene visualizzato anche nelle loro bacheche.

Quando un utente di Facebook fa clic sul link indicato in tale messaggio, va su una pagina web che copia l'aspetto esteriore del social network (se il passaggio viene effettuato da qualche altro sito, l'utente viene reindirizzato su una pagina web vuota).

Questa pagina contiene un'intestazione "Hello please watch my video" sotto cui si trova un componente falsificato che imita il lettore video standard. Se l'utente che naviga con Chrome prova a visualizzare il video, sullo schermo compare una finestra di dialogo in cui viene offerto di scaricare e installare un plugin per il browser. Questo plugin è anche una copia del malware Trojan.BPlug.1074.

Allo stesso modo Trojan.BPlug.1074 può distribuire anche altre estensioni per il browser Google Chrome.

Gli analisti dei virus Doctor Web informano che per il 28 aprile 2016 il plugin malevolo Trojan.BPlug.1074 è stato scaricato e installato dagli utenti di Facebook oltre 12.000 volte. L'antivirus Dr.Web rileva e rimuove con successo questo trojan, però gli specialisti consigliano ulteriormente agli utenti di fare attenzione a non installare le estensioni per browser anche se offerte per il download da un sito popolarissimo, quale Facebook.