Aggiornamenti recenti Dicembre 1st, 2023 2:00 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Okta, altro che 1%: il breach ha colpito tutti gli utenti
- Google potenzia le difese contro lo spam con RETVec
- IA, QR Code e visori al servizio degli attaccanti: le cyber-previsioni di WatchGuard per il 2024
- Carenza di competenze di cybersecurity: un quarto delle imprese vuole affidarsi agli MSP
- Black Friday ghiotto per il cybercrimine: in vendita 30 milioni di dati di utenti italiani
Web-Worm prende di mira Facebook usando dei falsi video
I messaggi sembrano contenere video “hot” di celebrità come Jessica Alba, ma dirottano il collegamento su siti che visualizzano raffiche di pop-up pubblicitari. Chi usa Chrome rischia di più.
Una nuova campagna di spam utilizza un Web-Worm che sfrutta Facebook per raggiungere migliaia di utenti del social network e inondarli di pubblicità.
Come spiegano i ricercatori di Cyren che hanno individuato e analizzato l’attacco, la responsabile è un’estensione di Chrome che i cyber criminali sono riusciti a caricare sullo store di Google.
L’estensione, che ha un funzionamento simile ad altre già individuate in passato, sfrutta il browser per accedere all’account Facebook e caricare un finto video sul profilo, nei gruppi e attraverso la chat.
Il file è confezionato in modo da sembrare un filmato, ma si tratta in realtà di un PDF con un nome del tipo Jessice_Alba_Leaked-sextapeVide_oSun_Dec_4_2016_22_99.mp4.pdf, che una volta aperto visualizza un’immagine di nudo con un pulsante Play al centro dello schermo.
A prima vista può sembrare un filmato, ma in realtà è un semplice PDF confezionato ad arte.
Chi fa clic sul pulsante viene dirottato verso un’altra pagina Web, diversa a seconda del tipo di browser che usa. Nel caso di Internet Explorer, Firefox e Safari, la pagina di destinazione contiene pop-up e messaggi pubblicitari estremamente “aggressivi”.
Qualcosa di simile succede anche nel caso in cui il file venga aperto su un dispositivo mobile, con una particolarità: se sullo smartphone non è installato un software per la visualizzazione di file in formato PDF, viene visualizzato un messaggio (tradotto in 25 lingue) che invita a installare il visualizzatore PDF di Google.
Se invece il collegamento viene aperto su un computer con Google Chrome, il malcapitato utente Facebook si trova davanti una falsa pagina di YouTube sulla quale compare un messaggio che invita a installare un’estensione per visualizzare il video.
L’estensione in questione, però, non contiene i codec per la riproduzione del filmato, ma un Web-Worm basato su una serie di script che gli consentono di diffondere ulteriormente il falso video.
Prima di tutto, però, si preoccupa di installare due handler che gli permettono di bloccare alcune funzioni del browser e intercettare in tempo reale il traffico, impedendo il collegamento a una serie di siti.
Il primo si chiama chrome.webRequest.onBeforeRequest e impedisce il collegamento a un elenco di siti Web che fanno riferimento a società antivirus e servizi anti-spam.
Il secondo, chiamato chrome.tabs.onUpdated, impedisce invece all’utente di aprire le sezioni Estensioni e Strumenti per sviluppatori, rendendo impossibile la rimozione dell’estensione stessa attraverso i classici strumenti di amministrazione di Chrome.
Lo script che si occupa di propagare il video si chiama invece main.php e si collega a un indirizzo Internet in cui seleziona in maniera casuale il file PDF che sarà diffuso su Facebook.
Il worm è in grado di generare il file PDF scaricando l’immagine relativa da un sito Internet a cui si collega.
Il nome del file conterrà un riferimento a una attrice o cantante (l’elenco comprende Scarlett Johanson, Jessica Alba, Paris Hilton, Jennifer Lawrence, Rihanna e altre celebrità) a cui viene associata l’immagine appropriata. Infine, lo script procede all’upload in modo da propagarsi ulteriormente.
L’estensione, in seguito alla segnalazione di Cyren, è stata rimossa dallo store di Google Chrome. Chi l’ha installata, può rimuoverla seguendo una procedura di disinstallazione manuale, che richiede l’eliminazione della cartella sul disco fisso e della relativa chiave dal Registro di sistema.
Dal momento che il worm impedisce l’uso delle normali funzioni per disinstallare le stensioni, però, l’operazione non è così semplice.
Le estensioni di Chrome sono infatti memorizzate all’interno di cartelle che hanno un nome generato casualmente e, di conseguenza, individuare il worm è praticamente impossibile. L’unica soluzione è rimuovere tutte le estensioni installate.
Per farlo, apriamo l’editor del Registro di sistema usando il comando regedit. Individuiamo la cartella HKEY_LOCAL_MACHINE\Software\Google\Chrome\Extension. Facciamo clic con il tasto destro del mouse su Extension e selezioniamo Elimina.
Passiamo poi al disco fisso e apriamo il percorso C:\Users\NOMEUTENTE\AppData\Local\Google\Chrome\User Data\Default\Extensions (in cui “NOMEUTENTE” corrisponde all’account locale di Windows) ed eliminiamo la cartella Extensions.
Condividi l'articolo
Problemi per Trend Micro: l’antivirus abbatte SharePoint
Pericolo per le aziende: attenti alle “liste di esclusione”
Articoli correlati
Altro in questa categoria
Approfondimenti
-
IA, QR Code e visori al servizio degli attaccanti: le... L’avvicinarsi della fine dell’anno coincide con... -
Carenza di competenze di cybersecurity: un quarto delle... Gli attacchi informatici crescono in numero e in... -
Black Friday ghiotto per il cybercrimine: in vendita 30... Yarix, divisione Digital Security di Var Group, ha... -
I trend delle minacce APT del 2024 Le minacce APT sono tra le più pericolose nel panorama... -
Black Friday e Cyber Monday: è il periodo delle truffe... Secondo l’ultima ricerca di Bitdefender, le truffe...
Minacce recenti
Off topic
-
Maythefourth: La caduta dell’Impero Galattico è... E se vi dicessimo che la saga di Star Wars ... -
Gli hacker e il cinema: i dieci migliori film secondo... Abbiamo rubato al blog di Kaspersky un vecchio pezzo di... -
Campione di scacchi blinda il PC. “Paura degli hacker” Il numero uno degli scacchi mondiali Magnus Carlsen ha... -
L’autore di fsociety pensa di essere Mr. Robot, ma è un... Il pirata informatico che ha creato il ransomware cerca... -
Yahoo sospende l’inoltro delle email. Paura di un esodo... Dopo la raffica di figuracce, l’azienda sospende per...
Post recenti
-
Okta, altro che 1%: il breach ha colpito tutti gli utenti Okta, la società americana di gestione delle identità, ha... -
Google potenzia le difese contro lo spam con RETVec Google ha rilasciato RETVec, uno strumento open-source per... -
AWS presenta Amazon One Enterprise per autenticarsi col... Durante il re:Invent, la conferenza annuale di Amazon Web... -
Defender Application Guard for Office è ufficialmente... Microsoft ha annunciato che Defender Application Guard for... -
Un gruppo hacktivista iraniano ha colpito un centro idrico... L’autorità idrica comunale di Aliquippa, una città...
Jargon room
Tutorial, guide e altre piccole idee per la sicurezza informatica
Ransomware: la serie
No posts found.
