Aggiornamenti recenti Novembre 21st, 2024 8:55 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Come playlist e podcast su Spotify promuovono software pirata
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
- Una vulnerabilità di un plugin di WordPress mette a rischio più di 4 milioni di siti
Web-Worm prende di mira Facebook usando dei falsi video
I messaggi sembrano contenere video “hot” di celebrità come Jessica Alba, ma dirottano il collegamento su siti che visualizzano raffiche di pop-up pubblicitari. Chi usa Chrome rischia di più.
Una nuova campagna di spam utilizza un Web-Worm che sfrutta Facebook per raggiungere migliaia di utenti del social network e inondarli di pubblicità.
Come spiegano i ricercatori di Cyren che hanno individuato e analizzato l’attacco, la responsabile è un’estensione di Chrome che i cyber criminali sono riusciti a caricare sullo store di Google.
L’estensione, che ha un funzionamento simile ad altre già individuate in passato, sfrutta il browser per accedere all’account Facebook e caricare un finto video sul profilo, nei gruppi e attraverso la chat.
Il file è confezionato in modo da sembrare un filmato, ma si tratta in realtà di un PDF con un nome del tipo Jessice_Alba_Leaked-sextapeVide_oSun_Dec_4_2016_22_99.mp4.pdf, che una volta aperto visualizza un’immagine di nudo con un pulsante Play al centro dello schermo.
A prima vista può sembrare un filmato, ma in realtà è un semplice PDF confezionato ad arte.
Chi fa clic sul pulsante viene dirottato verso un’altra pagina Web, diversa a seconda del tipo di browser che usa. Nel caso di Internet Explorer, Firefox e Safari, la pagina di destinazione contiene pop-up e messaggi pubblicitari estremamente “aggressivi”.
Qualcosa di simile succede anche nel caso in cui il file venga aperto su un dispositivo mobile, con una particolarità: se sullo smartphone non è installato un software per la visualizzazione di file in formato PDF, viene visualizzato un messaggio (tradotto in 25 lingue) che invita a installare il visualizzatore PDF di Google.
Se invece il collegamento viene aperto su un computer con Google Chrome, il malcapitato utente Facebook si trova davanti una falsa pagina di YouTube sulla quale compare un messaggio che invita a installare un’estensione per visualizzare il video.
L’estensione in questione, però, non contiene i codec per la riproduzione del filmato, ma un Web-Worm basato su una serie di script che gli consentono di diffondere ulteriormente il falso video.
Prima di tutto, però, si preoccupa di installare due handler che gli permettono di bloccare alcune funzioni del browser e intercettare in tempo reale il traffico, impedendo il collegamento a una serie di siti.
Il primo si chiama chrome.webRequest.onBeforeRequest e impedisce il collegamento a un elenco di siti Web che fanno riferimento a società antivirus e servizi anti-spam.
Il secondo, chiamato chrome.tabs.onUpdated, impedisce invece all’utente di aprire le sezioni Estensioni e Strumenti per sviluppatori, rendendo impossibile la rimozione dell’estensione stessa attraverso i classici strumenti di amministrazione di Chrome.
Lo script che si occupa di propagare il video si chiama invece main.php e si collega a un indirizzo Internet in cui seleziona in maniera casuale il file PDF che sarà diffuso su Facebook.
Il worm è in grado di generare il file PDF scaricando l’immagine relativa da un sito Internet a cui si collega.
Il nome del file conterrà un riferimento a una attrice o cantante (l’elenco comprende Scarlett Johanson, Jessica Alba, Paris Hilton, Jennifer Lawrence, Rihanna e altre celebrità) a cui viene associata l’immagine appropriata. Infine, lo script procede all’upload in modo da propagarsi ulteriormente.
L’estensione, in seguito alla segnalazione di Cyren, è stata rimossa dallo store di Google Chrome. Chi l’ha installata, può rimuoverla seguendo una procedura di disinstallazione manuale, che richiede l’eliminazione della cartella sul disco fisso e della relativa chiave dal Registro di sistema.
Dal momento che il worm impedisce l’uso delle normali funzioni per disinstallare le stensioni, però, l’operazione non è così semplice.
Le estensioni di Chrome sono infatti memorizzate all’interno di cartelle che hanno un nome generato casualmente e, di conseguenza, individuare il worm è praticamente impossibile. L’unica soluzione è rimuovere tutte le estensioni installate.
Per farlo, apriamo l’editor del Registro di sistema usando il comando regedit. Individuiamo la cartella HKEY_LOCAL_MACHINE\Software\Google\Chrome\Extension. Facciamo clic con il tasto destro del mouse su Extension e selezioniamo Elimina.
Passiamo poi al disco fisso e apriamo il percorso C:\Users\NOMEUTENTE\AppData\Local\Google\Chrome\User Data\Default\Extensions (in cui “NOMEUTENTE” corrisponde all’account locale di Windows) ed eliminiamo la cartella Extensions.
Condividi l'articolo
Problemi per Trend Micro: l’antivirus abbatte SharePoint
Pericolo per le aziende: attenti alle “liste di esclusione”
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno... -
Kaspersky ha collaborato a Synergia II, operazione... Kaspersky ha collaborato a Synergia II, operazione...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Come playlist e podcast su Spotify promuovono software... Playlist e podcast sono l’esca ideale per attirare ignari... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova... -
Una vulnerabilità di un plugin di WordPress mette a... István Márton, ricercatore di Wordfence, ha individuato...
Ransomware: la serie
No posts found.
