Aggiornamenti recenti Aprile 3rd, 2025 10:03 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Colt ha completato il trial di crittografia quantistica sulla propria rete ottica
- Corea del Nord: la minaccia cyber si espande in Europa grazie ai professionisti IT
- Le vulnerabilità dei tool RMM aprono nuove opportunità ai cybercriminali
- Una campagna di phishing usa il DNS-over-HTTPS per eludere i controlli
- CERT-AGID 22-28 marzo: in vendita sul darkweb i documenti dello smishing a tema INPS
Ondata di malware su Facebook. Attenti alle foto in chat
La tecnica di attacco è stata battezzata ImageGate. Nelle fotografie inviate tramite la chat del social network si nascondono trojan e ransomware.
Un’immagine in formato JPEG inviata nella chat di Facebook da un contatto che conosciamo. Quando proviamo a visualizzarla, però, il browser apre una finestra di dialogo per salvare un file. Strano vero?
Infatti quello che stiamo per salvare non è un’immagine, ma un file in formato HTA, cioè un’applicazione HTML che contiene un malware, molto probabilmente il ransomware Locky. Ad avviarne il download è stato un codice nascosto all’interno dell’immagine su cui abbiamo cliccato.
La tecnica di attacco è stata rilevata da Check Point ed è considerata una delle campagne di distribuzione di malware più insidiose comparse fino a oggi.
Per il momento, la società di sicurezza non ha diffuso dettagli tecnici sul nuovo vettore d’attacco, spiegando che diffonderà tutte le informazioni solo quando i siti più colpiti (oltre a Facebook viene usato anche Linkedin) avranno trovato le contromisure adeguate per fermarlo. Ha però pubblicato un video che mostra come viene avviato Locky attraverso l’attacco ImageGate.
L’attacco al social network non è comunque una grande sorpresa. L’invio di file infetti distribuiti tramite le chat di Facebook, infatti, è stato notato per la prima volta all’inizio di ottobre (ne abbiamo parlato anche noi) anche se con modalità differenti da quelle descritte ora da Check Point.
I primi casi, registrati in Francia e in Italia, utilizzavano un link confezionato in modo da sembrare un video. Chi ci faceva clic sopra veniva dirottato su una finta pagina di YouTube e gli veniva proposta l’installazione di un’estensione del browser che, in teoria, avrebbe dovuto permettere la visualizzazione del filmato.
Come spiegato a suo tempo da Malwarebytes Labs, l’estensione è in realtà un malware, che oltre a utilizzare l’account della vittima per diffondersi ulteriormente, permette ai pirati informatici di rubare varie informazioni, tra cui i dati di accesso a Facebook.
Qualche giorno fa, poi, è comparso un altro allarme molto simile a quello precedente. Questa volta a pubblicarlo è stato Bart Blaze. La tecnica era lievemente differente: il vettore d’attacco non era infatti un link, ma un’immagine in formato SVG.
Il formato SVG è usato per file grafici vettoriali, ma è basato su XML e permette, in pratica, di inserire al suo interno qualsiasi tipo di contenuto, per esempio un JavaScript.
L’esemplare in cui si è imbattuto Blaze aveva un comportamento simile a quello analizzato a ottobre da Malwarebytes: puntava infatti a ingannare la vittima per fare in modo che installasse un’estensione del browser in grado di sottrarre le credenziali di accesso a Facebook e diffondersi ulteriormente attraverso i contatti della vittima.
L’estensione viene proposta come un codec video, ma ruba i dati di accesso a Facebook.
Nello stesso post, però, Blaze specifica di aver ricevuto segnalazioni dell’uso della stessa tecnica di attacco per distribuire un trojan chiamato Nemucod e (guarda un po’!) il ransomware Locky.
Dopo la segnalazione da parte di Blade, Facebook avrebbe cominciato a bloccare l’invio dei file in formato SVG tramite chat.
Con ImageGate, sembra si sia arrivati a una nuova evoluzione della stessa tecnica. L’attacco infatti utilizza immagini JPEG ed è difficile pensare che Facebook possa decidere di bloccarne l’invio. Il legame tra i tre episodi, però, è troppo stretto per essere casuale.
Un’ipotesi che ci è stata confermata anche da Oded Vanunu, Head of Products Vulnerability Research di Check Point.
“Possiamo confermare che anche il trojan Nemucod sta usando ImageGate come vettore di attacco” ci ha scritto Vanunu in risposta a un’email che gli abbiamo inviato chiedendo la sua opinione su un possibile collegamento.
Vanunu, però, non si è sbilanciato oltre. Una possibile lettura della vicenda (volendosi sbilanciare) è che ci si trovi di fronte a un attacco in grande stile che si è sviluppato in due fasi.
Nella prima fase i pirati hanno usato la chat di Facebook come vettore di attacco, ma senza colpirli con malware distruttivi come i ransomware. Si sono limitati a distribuire le estensioni in grado di rubare le credenziali di accesso al social network, in modo da farne incetta e avere la possibilità di raggiungere un gran numero di contatti.
Ora hanno cominciato l’attacco vero e proprio, sfruttando gli account che hanno compromesso in precedenza per inviare trojan e ransomware a tutti i loro contatti.
Se così fosse, si tratterebbe di una vera catastrofe. Quando si riceve una fotografia inviata in chat da un contatto conosciuto, infatti, la tendenza è quella di essere molto meno sospettosi rispetto a quando si ha a che fare con un’email o un messaggio di uno sconosciuto.
Da oggi, quindi, sarà bene diffidare di qualsiasi immagine recapitata tramite social network. Per lo meno fino a quando il problema (si spera) non verrà risolto definitivamente.
Condividi l'articolo
Ransomware colpisce l'azienda trasporti di San Francisco
Botnet Mirai da 400.000 device in affitto sul Web
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Corea del Nord: la minaccia cyber si espande in Europa... La Corea del Nord sta incrementando le proprie attività... -
Le vulnerabilità dei tool RMM aprono nuove opportunità ai... Se da una parte i tool di Remote Monitoring and Management... -
Mimecast: con l’AI una nuova era per la Data Loss... Ogni nuova tecnologia porta con sé nuovi rischi. Nel caso... -
Penetration testing, una volta ogni tanto non basta più:... Il processo di penetration testing è ormai una pratica... -
Il ransomware Medusa ha colpito oltre 300 infrastrutture... Il bilancio delle vittime del ransomware Medusa è...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Colt ha completato il trial di crittografia quantistica... Colt Technology Services ha annunciato di aver completato... -
Corea del Nord: la minaccia cyber si espande in Europa... La Corea del Nord sta incrementando le proprie attività...
-
Le vulnerabilità dei tool RMM aprono nuove opportunità ai... Se da una parte i tool di Remote Monitoring and...
-
Una campagna di phishing usa il DNS-over-HTTPS per eludere... I ricercatori di Infoblox hanno scoperto una nuova campagna... -
CERT-AGID 22-28 marzo: in vendita sul darkweb i documenti... Nel corso dell’ultima settimana, il CERT-AGID ha rilevato...
Ransomware: la serie
No posts found.
