Aggiornamenti recenti Aprile 18th, 2025 2:53 PM
Dic 09, 2016 Marco Schiaffino Malware, Minacce, News, RSS, Worms 0
Una nuova campagna di spam utilizza un Web-Worm che sfrutta Facebook per raggiungere migliaia di utenti del social network e inondarli di pubblicità.
Come spiegano i ricercatori di Cyren che hanno individuato e analizzato l’attacco, la responsabile è un’estensione di Chrome che i cyber criminali sono riusciti a caricare sullo store di Google.
L’estensione, che ha un funzionamento simile ad altre già individuate in passato, sfrutta il browser per accedere all’account Facebook e caricare un finto video sul profilo, nei gruppi e attraverso la chat.
Il file è confezionato in modo da sembrare un filmato, ma si tratta in realtà di un PDF con un nome del tipo Jessice_Alba_Leaked-sextapeVide_oSun_Dec_4_2016_22_99.mp4.pdf, che una volta aperto visualizza un’immagine di nudo con un pulsante Play al centro dello schermo.
A prima vista può sembrare un filmato, ma in realtà è un semplice PDF confezionato ad arte.
Chi fa clic sul pulsante viene dirottato verso un’altra pagina Web, diversa a seconda del tipo di browser che usa. Nel caso di Internet Explorer, Firefox e Safari, la pagina di destinazione contiene pop-up e messaggi pubblicitari estremamente “aggressivi”.
Qualcosa di simile succede anche nel caso in cui il file venga aperto su un dispositivo mobile, con una particolarità: se sullo smartphone non è installato un software per la visualizzazione di file in formato PDF, viene visualizzato un messaggio (tradotto in 25 lingue) che invita a installare il visualizzatore PDF di Google.
Se invece il collegamento viene aperto su un computer con Google Chrome, il malcapitato utente Facebook si trova davanti una falsa pagina di YouTube sulla quale compare un messaggio che invita a installare un’estensione per visualizzare il video.
L’estensione in questione, però, non contiene i codec per la riproduzione del filmato, ma un Web-Worm basato su una serie di script che gli consentono di diffondere ulteriormente il falso video.
Prima di tutto, però, si preoccupa di installare due handler che gli permettono di bloccare alcune funzioni del browser e intercettare in tempo reale il traffico, impedendo il collegamento a una serie di siti.
Il primo si chiama chrome.webRequest.onBeforeRequest e impedisce il collegamento a un elenco di siti Web che fanno riferimento a società antivirus e servizi anti-spam.
Il secondo, chiamato chrome.tabs.onUpdated, impedisce invece all’utente di aprire le sezioni Estensioni e Strumenti per sviluppatori, rendendo impossibile la rimozione dell’estensione stessa attraverso i classici strumenti di amministrazione di Chrome.
Lo script che si occupa di propagare il video si chiama invece main.php e si collega a un indirizzo Internet in cui seleziona in maniera casuale il file PDF che sarà diffuso su Facebook.
Il worm è in grado di generare il file PDF scaricando l’immagine relativa da un sito Internet a cui si collega.
Il nome del file conterrà un riferimento a una attrice o cantante (l’elenco comprende Scarlett Johanson, Jessica Alba, Paris Hilton, Jennifer Lawrence, Rihanna e altre celebrità) a cui viene associata l’immagine appropriata. Infine, lo script procede all’upload in modo da propagarsi ulteriormente.
L’estensione, in seguito alla segnalazione di Cyren, è stata rimossa dallo store di Google Chrome. Chi l’ha installata, può rimuoverla seguendo una procedura di disinstallazione manuale, che richiede l’eliminazione della cartella sul disco fisso e della relativa chiave dal Registro di sistema.
Dal momento che il worm impedisce l’uso delle normali funzioni per disinstallare le stensioni, però, l’operazione non è così semplice.
Le estensioni di Chrome sono infatti memorizzate all’interno di cartelle che hanno un nome generato casualmente e, di conseguenza, individuare il worm è praticamente impossibile. L’unica soluzione è rimuovere tutte le estensioni installate.
Per farlo, apriamo l’editor del Registro di sistema usando il comando regedit. Individuiamo la cartella HKEY_LOCAL_MACHINE\Software\Google\Chrome\Extension. Facciamo clic con il tasto destro del mouse su Extension e selezioniamo Elimina.
Passiamo poi al disco fisso e apriamo il percorso C:\Users\NOMEUTENTE\AppData\Local\Google\Chrome\User Data\Default\Extensions (in cui “NOMEUTENTE” corrisponde all’account locale di Windows) ed eliminiamo la cartella Extensions.
Ago 28, 2024 0
Giu 18, 2024 0
Mag 16, 2024 0
Apr 04, 2024 0
Apr 18, 2025 0
Apr 17, 2025 0
Apr 16, 2025 0
Apr 16, 2025 0
Apr 18, 2025 0
I ricercatori di Cisco Talos hanno pubblicato una nuova...Apr 15, 2025 0
La diffusione dell’IA e il progressivo miglioramento...Apr 09, 2025 0
Gli agenti di IA stanno diventando sempre più capaci, in...Apr 07, 2025 0
I file PDF possono diventare molto pericolosi: stando a una...Apr 04, 2025 0
L’Italia è tra i principali obiettivi del cybercrime...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Apr 18, 2025 0
I ricercatori di Cisco Talos hanno pubblicato una nuova...Apr 17, 2025 0
Alcuni ricercatori di sicurezza hanno scoperto una nuova...Apr 16, 2025 0
Aggiornamento: “Il programma CVE ha un valore...Apr 16, 2025 0
Microsoft sta per rilasciare una nuova funzionalità di...Apr 15, 2025 0
La diffusione dell’IA e il progressivo miglioramento...