Web-Worm prende di mira Facebook usando dei falsi video

Dic 09, 2016 Marco Schiaffino Malware, Minacce, News, RSS, Worms 0

I messaggi sembrano contenere video “hot” di celebrità come Jessica Alba, ma dirottano il collegamento su siti che visualizzano raffiche di pop-up pubblicitari. Chi usa Chrome rischia di più.

Una nuova campagna di spam utilizza un Web-Worm che sfrutta Facebook per raggiungere migliaia di utenti del social network e inondarli di pubblicità.

Come spiegano i ricercatori di Cyren che hanno individuato e analizzato l’attacco, la responsabile è un’estensione di Chrome che i cyber criminali sono riusciti a caricare sullo store di Google.

L’estensione, che ha un funzionamento simile ad altre già individuate in passato, sfrutta il browser per accedere all’account Facebook e caricare un finto video sul profilo, nei gruppi e attraverso la chat.

Il file è confezionato in modo da sembrare un filmato, ma si tratta in realtà di un PDF con un nome del tipo Jessice_Alba_Leaked-sextapeVide_oSun_Dec_4_2016_22_99.mp4.pdf, che una volta aperto visualizza un’immagine di nudo con un pulsante Play al centro dello schermo.

A prima vista può sembrare un filmato, ma in realtà è un semplice PDF confezionato ad arte.

Chi fa clic sul pulsante viene dirottato verso un’altra pagina Web, diversa a seconda del tipo di browser che usa. Nel caso di Internet Explorer, Firefox e Safari, la pagina di destinazione contiene pop-up e messaggi pubblicitari estremamente “aggressivi”.

Qualcosa di simile succede anche nel caso in cui il file venga aperto su un dispositivo mobile, con una particolarità: se sullo smartphone non è installato un software per la visualizzazione di file in formato PDF, viene visualizzato un messaggio (tradotto in 25 lingue) che invita a installare il visualizzatore PDF di Google.

Se invece il collegamento viene aperto su un computer con Google Chrome, il malcapitato utente Facebook si trova davanti una falsa pagina di YouTube sulla quale compare un messaggio che invita a installare un’estensione per visualizzare il video.

L’estensione in questione, però, non contiene i codec per la riproduzione del filmato, ma un Web-Worm basato su una serie di script che gli consentono di diffondere ulteriormente il falso video.

Prima di tutto, però, si preoccupa di installare due handler che gli permettono di bloccare alcune funzioni del browser e intercettare in tempo reale il traffico, impedendo il collegamento a una serie di siti.

Il primo si chiama chrome.webRequest.onBeforeRequest e impedisce il collegamento a un elenco di siti Web che fanno riferimento a società antivirus e servizi anti-spam.

Il secondo, chiamato chrome.tabs.onUpdated, impedisce invece all’utente di aprire le sezioni Estensioni e Strumenti per sviluppatori, rendendo impossibile la rimozione dell’estensione stessa attraverso i classici strumenti di amministrazione di Chrome.

Lo script che si occupa di propagare il video si chiama invece main.php e si collega a un indirizzo Internet in cui seleziona in maniera casuale il file PDF che sarà diffuso su Facebook.

Il worm è in grado di generare il file PDF scaricando l’immagine relativa da un sito Internet a cui si collega.

Il nome del file conterrà un riferimento a una attrice o cantante (l’elenco comprende Scarlett Johanson, Jessica Alba, Paris Hilton, Jennifer Lawrence, Rihanna e altre celebrità) a cui viene associata l’immagine appropriata. Infine, lo script procede all’upload in modo da propagarsi ulteriormente.

L’estensione, in seguito alla segnalazione di Cyren, è stata rimossa dallo store di Google Chrome. Chi l’ha installata, può rimuoverla seguendo una procedura di disinstallazione manuale, che richiede l’eliminazione della cartella sul disco fisso e della relativa chiave dal Registro di sistema.

Dal momento che il worm impedisce l’uso delle normali funzioni per disinstallare le stensioni, però, l’operazione non è così semplice.

Le estensioni di Chrome sono infatti memorizzate all’interno di cartelle che hanno un nome generato casualmente e, di conseguenza, individuare il worm è praticamente impossibile. L’unica soluzione è rimuovere tutte le estensioni installate.

Per farlo, apriamo l’editor del Registro di sistema usando il comando regedit. Individuiamo la cartella HKEY_LOCAL_MACHINE\Software\Google\Chrome\Extension. Facciamo clic con il tasto destro del mouse su Extension e selezioniamo Elimina.

Passiamo poi al disco fisso e apriamo il percorso C:\Users\NOMEUTENTE\AppData\Local\Google\Chrome\User Data\Default\Extensions (in cui “NOMEUTENTE” corrisponde all’account locale di Windows) ed eliminiamo la cartella Extensions.

Condividi l'articolo