 Una nuova variante del worm Koobface è stata segnalata in diffusione sul popolare social network Facebook. Le nuove segnalazioni arrivano dopo una settimana di fuoco per Facebook che ha subito nei giorni scorsi vari attacchi "spam" da parte di alcune "rogue application" che, quando installate, si propagavano automaticamente tra i contatti dell'utente vittima tramite notifiche fasulle. Maggiori dettagli sulla nuova variante di Koobface e sugli attacchi spam da parte delle applicazioni maliziose sono stati pubblicati in questi giorni sul Malware Blog dell'azienda di sicurezza Trend Micro.
 Facebook: Varianti di "Koobface"
Il worm Koobface si propaga tramite messaggio proveniente da un amico Facebook che include un link ad un fantomatico video online. La pagina di destinazione del link mostra il nome ed una foto del amico, cliccando il pulsante "install" tuttavia l'utente vittima viene diretto ad un sito per il download di un file "setup.exe", l'eseguibile della nuova variante del worm, classificata come Worm_Koobface.az.
Il worm Koobface aveva fatto capolino in rete a Dicembre dell'anno scorso. Da quel momento il codice nocivo è stato diffuso su numerosi siti di social networking inclusi MySpace, Bebo, Friendster, hi5, MyYearbook, Tagged.com, Netlog, Fubar, e LiveJournal.com. Le versioni originali del malware non presentavano tuttavia il livello di complessità e automazione visti in quelle più recenti.
Una volta infettato il computer, il worm invia informazioni cookie ad un server remoto (sembra siano attivi circa 300 server di questo tipo al momento). Jamz Yaneza, senior threat analyst e researcher per Trend Micro, evidenzia: "Ora potete utilizzare una connessione third-party tramite la Facebook API". Le informazioni cookie possono includere informazioni non crittate di accesso, cosa che permette agli attacker di mascherarsi come utente legittimo sul network sociale.
Rik Ferguson, security expert di Trend Micro, commenta: "Il worm si connette al sito attinente utilizzando le credenziali di accesso salvate nei cookie ottenuti. Esegue quindi ricerche sugli amici dell'utente infetto, a cui poi invia messaggi contenenti un link per scaricare una copia del worm. Invia e riceve inoltre informazioni da un macchina infetta connettendosi a svariati server. Questo permette ai cybercriminali di eseguire comandi sulla macchina infetta".
Tutti gli utenti di Facebook e degli altri siti di social networking sono invitati ad ignorare questo tipo di messaggi o chiedere conferma al mittente riguardo la richieste. Cliccare direttamente sui link contenuti in questi messaggi avvierà il processo di infezione del computer.
Barry Schnitt, portavoce di Facebook, commenta in una e-mail a CNET News: "Solo una piccola percentuale di utenti Facebook è stata affetta da problematiche di sicurezza. Stiamo aggiornando i nostri sistemi di sicurezza per minimizzare ulteriore impatto, come reimpostando password sugli account infetti e identificando ed eliminando i contenuti nocivi inviati dal virus. Abbiamo pubblicato una nota riguardo questo sulla nostra pagina dedicata alla sicurezza per informare gli utenti …
I worm come Koobface si aggiornano frequentemente. Koobface è alla sua 28esimaversione di file binario da quando ha iniziato ad attaccare I siti di social networking la scorsa estate. La differenza sta essenzialmente nelle pagine web che lo ospitano – la pagina di approdo dove gli utenti vengono ingannati e spinti a scaricare un aggiornamento fasullo che installa il virus. Gli utenti dovrebbero essere molto attenti ai messaggi strani che arrivano dagli amici e dovrebbero sempre confermare la necessità di aggiornamento software tramite il sito web del vendor (Adobe.com, etc...) prima di scaricarlo da un third party". |
|
non ci sono commenti
