Aggiornamenti recenti Novembre 25th, 2024 12:15 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Convergenza tra IA e cybersecurity: le previsioni di Palo Alto Networks
- Attacchi DDoS più che raddoppiati lo scorso anno: il report di F5 Labs
- Come playlist e podcast su Spotify promuovono software pirata
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
Ondata di malware su Facebook. Attenti alle foto in chat
La tecnica di attacco è stata battezzata ImageGate. Nelle fotografie inviate tramite la chat del social network si nascondono trojan e ransomware.
Un’immagine in formato JPEG inviata nella chat di Facebook da un contatto che conosciamo. Quando proviamo a visualizzarla, però, il browser apre una finestra di dialogo per salvare un file. Strano vero?
Infatti quello che stiamo per salvare non è un’immagine, ma un file in formato HTA, cioè un’applicazione HTML che contiene un malware, molto probabilmente il ransomware Locky. Ad avviarne il download è stato un codice nascosto all’interno dell’immagine su cui abbiamo cliccato.
La tecnica di attacco è stata rilevata da Check Point ed è considerata una delle campagne di distribuzione di malware più insidiose comparse fino a oggi.
Per il momento, la società di sicurezza non ha diffuso dettagli tecnici sul nuovo vettore d’attacco, spiegando che diffonderà tutte le informazioni solo quando i siti più colpiti (oltre a Facebook viene usato anche Linkedin) avranno trovato le contromisure adeguate per fermarlo. Ha però pubblicato un video che mostra come viene avviato Locky attraverso l’attacco ImageGate.
L’attacco al social network non è comunque una grande sorpresa. L’invio di file infetti distribuiti tramite le chat di Facebook, infatti, è stato notato per la prima volta all’inizio di ottobre (ne abbiamo parlato anche noi) anche se con modalità differenti da quelle descritte ora da Check Point.
I primi casi, registrati in Francia e in Italia, utilizzavano un link confezionato in modo da sembrare un video. Chi ci faceva clic sopra veniva dirottato su una finta pagina di YouTube e gli veniva proposta l’installazione di un’estensione del browser che, in teoria, avrebbe dovuto permettere la visualizzazione del filmato.
Come spiegato a suo tempo da Malwarebytes Labs, l’estensione è in realtà un malware, che oltre a utilizzare l’account della vittima per diffondersi ulteriormente, permette ai pirati informatici di rubare varie informazioni, tra cui i dati di accesso a Facebook.
Qualche giorno fa, poi, è comparso un altro allarme molto simile a quello precedente. Questa volta a pubblicarlo è stato Bart Blaze. La tecnica era lievemente differente: il vettore d’attacco non era infatti un link, ma un’immagine in formato SVG.
Il formato SVG è usato per file grafici vettoriali, ma è basato su XML e permette, in pratica, di inserire al suo interno qualsiasi tipo di contenuto, per esempio un JavaScript.
L’esemplare in cui si è imbattuto Blaze aveva un comportamento simile a quello analizzato a ottobre da Malwarebytes: puntava infatti a ingannare la vittima per fare in modo che installasse un’estensione del browser in grado di sottrarre le credenziali di accesso a Facebook e diffondersi ulteriormente attraverso i contatti della vittima.
L’estensione viene proposta come un codec video, ma ruba i dati di accesso a Facebook.
Nello stesso post, però, Blaze specifica di aver ricevuto segnalazioni dell’uso della stessa tecnica di attacco per distribuire un trojan chiamato Nemucod e (guarda un po’!) il ransomware Locky.
Dopo la segnalazione da parte di Blade, Facebook avrebbe cominciato a bloccare l’invio dei file in formato SVG tramite chat.
Con ImageGate, sembra si sia arrivati a una nuova evoluzione della stessa tecnica. L’attacco infatti utilizza immagini JPEG ed è difficile pensare che Facebook possa decidere di bloccarne l’invio. Il legame tra i tre episodi, però, è troppo stretto per essere casuale.
Un’ipotesi che ci è stata confermata anche da Oded Vanunu, Head of Products Vulnerability Research di Check Point.
“Possiamo confermare che anche il trojan Nemucod sta usando ImageGate come vettore di attacco” ci ha scritto Vanunu in risposta a un’email che gli abbiamo inviato chiedendo la sua opinione su un possibile collegamento.
Vanunu, però, non si è sbilanciato oltre. Una possibile lettura della vicenda (volendosi sbilanciare) è che ci si trovi di fronte a un attacco in grande stile che si è sviluppato in due fasi.
Nella prima fase i pirati hanno usato la chat di Facebook come vettore di attacco, ma senza colpirli con malware distruttivi come i ransomware. Si sono limitati a distribuire le estensioni in grado di rubare le credenziali di accesso al social network, in modo da farne incetta e avere la possibilità di raggiungere un gran numero di contatti.
Ora hanno cominciato l’attacco vero e proprio, sfruttando gli account che hanno compromesso in precedenza per inviare trojan e ransomware a tutti i loro contatti.
Se così fosse, si tratterebbe di una vera catastrofe. Quando si riceve una fotografia inviata in chat da un contatto conosciuto, infatti, la tendenza è quella di essere molto meno sospettosi rispetto a quando si ha a che fare con un’email o un messaggio di uno sconosciuto.
Da oggi, quindi, sarà bene diffidare di qualsiasi immagine recapitata tramite social network. Per lo meno fino a quando il problema (si spera) non verrà risolto definitivamente.
Condividi l'articolo
Ransomware colpisce l'azienda trasporti di San Francisco
Botnet Mirai da 400.000 device in affitto sul Web
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Convergenza tra IA e cybersecurity: le previsioni di Palo... Ora che l’intelligenza artificiale è entrata a far... -
Attacchi DDoS più che raddoppiati lo scorso anno: il... Secondo una ricerca di F5 Labs, gli attacchi DDoS sono... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Convergenza tra IA e cybersecurity: le previsioni di Palo... Ora che l’intelligenza artificiale è entrata a far...
-
Attacchi DDoS più che raddoppiati lo scorso anno: il... Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...
-
Come playlist e podcast su Spotify promuovono software... Playlist e podcast sono l’esca ideale per attirare ignari... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha...
Ransomware: la serie
No posts found.
