Il noto social network è per l’ennesima volta sotto attacco.

Sono infatti da registrare almeno tre diverse campagne, tutte sottoforma di phishing che puntano alla diffusione di due diversi malware.

In ordine di tempo, vi è da segnalare la comparsa di un nuovo trojan, di nome Bredolab, che mira alla formazione di una vasta botnet.

Questa prima minaccia si sta diffondendo in particolare in quest’ultimo periodo (sebbene già fosse conosciuta già da qualche mese): questo trojan si diffonde mediante l’invio agli utenti di un messaggio email dal titolo “Password Reset Confirmation email“, all’interno del quale viene comunicata la variazione della parola chiave necessaria per accedere al celebre social network: in realtà un trojan che inserisce il pc dell’utente all’interno di una botnet.

Come già affermato prima, in questi giorni quest’ultimo malware si sta espandendo in rete a macchia d’olio:  si registra un volume di ben 350.000 messaggi di phishing di questo tipo intercettati.

La seconda minaccia in diffusione in questi giorni è rappresentata da una mail nelle quale gli utenti vengono invitati ad aggiornare i propri account su Facebook, cliccando su un collegamento di presunto aggiornamento (update):  cliccando sul link, si viene indirizzati su una pagina web abilmente contraffatta che riproduce il layout di Fb, nella quale si invita a digitare le credenziali di accesso, cosi da rubarle.

Non solo: l’utente viene invitato ad installare una sorta di pacht per l’aggiornamento (“updatetool”),  che in realtà si rivela una variante del trojan  “Zbot“, progettato per rubare le password contenute nel sistema.

Una terza minaccia si presenta sotto forma di una email, con cui si invita a resettare la propria password per motivi di sicurezza.

Quest’ultima minaccia è fatta molto bene, ed è un mix tra Keylogger e Falso Antivirus.

L’email si presenta come se fosse inviata da “Facebook Privacy Policy” ed è accompagnata da un allegato, un file zip: una volta avviato, questo in realtà si autodistrugge, ma in realtà è gia ben inserito nel sistema.

A questo puntoil malware installato esegue una connessione HTTP al proprio  server malevolo per scaricare altri componenti utili all’infezione

Il malware scarica un keylogger e lo esegue di nascosto raccogliendo password di login, numeri di carta di credito, ecc che poi  invia ad un server remoto tramite una backdoor creata allo scopo.

A tutto ciò, si aggiunge anche un ulteriore componente: uno Scareware, un Fake Antivirus.

Il falso AV viene installato in maniera nascosta e termina quasi tutte le applicazioni aperte: Notepad, Calcolatrice, Editor del Registro, Task Manager, e altri.

Dopo aver chiuso queste applicazioni il malware propone un falso allarme,

sostenendo che l‘applicazione che tentiamo di aprire e’ infetta e dovremo per riattivarla, registrare il falso Av, naturalmente a pagamento.

I consigli sono sempre gli stessi:

• diffidate da email provenienti da persone non ben identificate

• non aprite mai gli allegati delle email, se non in maniera adeguata (Sandboxie ad esempio).

Vuoi tutti gli aggiornamenti di IbA's Blog in tempo reale? Abbonati ai nostri Feed RSS.