Aggiornamenti recenti Ottobre 14th, 2024 2:00 PM
Dic 09, 2016 Marco Schiaffino Malware, Minacce, News, RSS, Worms 0
Una nuova campagna di spam utilizza un Web-Worm che sfrutta Facebook per raggiungere migliaia di utenti del social network e inondarli di pubblicità.
Come spiegano i ricercatori di Cyren che hanno individuato e analizzato l’attacco, la responsabile è un’estensione di Chrome che i cyber criminali sono riusciti a caricare sullo store di Google.
L’estensione, che ha un funzionamento simile ad altre già individuate in passato, sfrutta il browser per accedere all’account Facebook e caricare un finto video sul profilo, nei gruppi e attraverso la chat.
Il file è confezionato in modo da sembrare un filmato, ma si tratta in realtà di un PDF con un nome del tipo Jessice_Alba_Leaked-sextapeVide_oSun_Dec_4_2016_22_99.mp4.pdf, che una volta aperto visualizza un’immagine di nudo con un pulsante Play al centro dello schermo.
Chi fa clic sul pulsante viene dirottato verso un’altra pagina Web, diversa a seconda del tipo di browser che usa. Nel caso di Internet Explorer, Firefox e Safari, la pagina di destinazione contiene pop-up e messaggi pubblicitari estremamente “aggressivi”.
Qualcosa di simile succede anche nel caso in cui il file venga aperto su un dispositivo mobile, con una particolarità: se sullo smartphone non è installato un software per la visualizzazione di file in formato PDF, viene visualizzato un messaggio (tradotto in 25 lingue) che invita a installare il visualizzatore PDF di Google.
Se invece il collegamento viene aperto su un computer con Google Chrome, il malcapitato utente Facebook si trova davanti una falsa pagina di YouTube sulla quale compare un messaggio che invita a installare un’estensione per visualizzare il video.
L’estensione in questione, però, non contiene i codec per la riproduzione del filmato, ma un Web-Worm basato su una serie di script che gli consentono di diffondere ulteriormente il falso video.
Prima di tutto, però, si preoccupa di installare due handler che gli permettono di bloccare alcune funzioni del browser e intercettare in tempo reale il traffico, impedendo il collegamento a una serie di siti.
Il primo si chiama chrome.webRequest.onBeforeRequest e impedisce il collegamento a un elenco di siti Web che fanno riferimento a società antivirus e servizi anti-spam.
Il secondo, chiamato chrome.tabs.onUpdated, impedisce invece all’utente di aprire le sezioni Estensioni e Strumenti per sviluppatori, rendendo impossibile la rimozione dell’estensione stessa attraverso i classici strumenti di amministrazione di Chrome.
Lo script che si occupa di propagare il video si chiama invece main.php e si collega a un indirizzo Internet in cui seleziona in maniera casuale il file PDF che sarà diffuso su Facebook.
Il nome del file conterrà un riferimento a una attrice o cantante (l’elenco comprende Scarlett Johanson, Jessica Alba, Paris Hilton, Jennifer Lawrence, Rihanna e altre celebrità) a cui viene associata l’immagine appropriata. Infine, lo script procede all’upload in modo da propagarsi ulteriormente.
L’estensione, in seguito alla segnalazione di Cyren, è stata rimossa dallo store di Google Chrome. Chi l’ha installata, può rimuoverla seguendo una procedura di disinstallazione manuale, che richiede l’eliminazione della cartella sul disco fisso e della relativa chiave dal Registro di sistema.
Dal momento che il worm impedisce l’uso delle normali funzioni per disinstallare le stensioni, però, l’operazione non è così semplice.
Le estensioni di Chrome sono infatti memorizzate all’interno di cartelle che hanno un nome generato casualmente e, di conseguenza, individuare il worm è praticamente impossibile. L’unica soluzione è rimuovere tutte le estensioni installate.
Per farlo, apriamo l’editor del Registro di sistema usando il comando regedit. Individuiamo la cartella HKEY_LOCAL_MACHINE\Software\Google\Chrome\Extension. Facciamo clic con il tasto destro del mouse su Extension e selezioniamo Elimina.
Passiamo poi al disco fisso e apriamo il percorso C:\Users\NOMEUTENTE\AppData\Local\Google\Chrome\User Data\Default\Extensions (in cui “NOMEUTENTE” corrisponde all’account locale di Windows) ed eliminiamo la cartella Extensions.
Ago 28, 2024 0
Giu 18, 2024 0
Mag 16, 2024 0
Apr 04, 2024 0
Ott 14, 2024 0
Ott 14, 2024 0
Ott 11, 2024 0
Ott 10, 2024 0
Ott 10, 2024 0
Negli ultimi anni il numero di campagne di business email...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 09, 2024 0
Acronis ha rilasciato il suo report “Acronis...Ott 03, 2024 0
Dopo essere entrata in vigora il 17 gennaio 2023, la NIS2...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Ott 14, 2024 0
Lo scorso mercoledì la CISA (Cybersecurity &...Ott 14, 2024 0
Nell’ultima settimana, il CERT-AGID (Computer...Ott 11, 2024 0
Mercoledì Google ha annunciato Global Signal Exchange,...Ott 10, 2024 0
I ricercatori di Jscrambler hanno individuato peculiare...Ott 10, 2024 0
Negli ultimi anni il numero di campagne di business