I ricercatori di sicurezza di BitDefender hanno scoperto una nuova truffa di scamming che installa un'estensione dannosa nel browser web Chrome per trasformare "Like" di Facebook in denaro per i criminali informatici. L'exploit inizia con un collegamento dannoso incorporato in e-mail di spam, dice Bogdan Botezatu, un analista delle minacce di Bitdefender. Il link rimanda al Chrome Web Store, dove si scarica una estensione "business" di Flash player - supponendo che si è tanto sciocco da fare clic sui link di spam.
Una volta che questa cosiddetta versione "business" di Flash è stata scaricata, viene monitorata l'attività del browser. Quando si atterra su una pagina di Facebook con Chrome, il malware controlla i cookie del browser per vedere se siete collegati a Facebook. Se lo siete, una porzione di codice Javascript indicherà all'estensione che cosa fare con il vostro account. "Possono farlo funzionare come vogliono per molte campagne ", ha detto Botezatu in un'intervista a PC World.
"Tutto quello che devono fare è prendere un nuovo script." Attraverso lo script, il vostro account può essere utilizzato per spammare ai vostri amici, postare link dannosi sul vostro feed di notizie e Timeline, e automaticamente cliccare "Like" a pagine a vostra insaputa. "Si può fare tutto ciò che l'utente può fare con il proprio account di Facebook", ha detto Botezatu. Un utente malintenzionato con l'estensione dannosa può anche rubare i cookie di Facebook. Poi il truffatore può utilizzare i cookie per accedere al vostro account da un altro computer.
"È così che si può perdere il vostro account", ha detto Botezatu. Lo script inoltre istruisce gli account compromessi a "Like" a pagine specifiche. Una pagina, scoperta da Bitdefender ha avuto più di 40.000 Mi piace, anche se la pagina era priva di contenuti. In quelle pagine si accumulano "Mi piace", il cui valore di rivendita aumenta sul Dark Net. La pagina rastrella Mi piace, diventando più visibile agli utenti di Facebook. Tale visibilità è del valore di centinaia di migliaia di dollari per i cyber criminali perché dà loro una piattaforma per indirizzare gli utenti di Facebook su tutto, da più malware a piazze di abbigliamento contraffatti.
"In un forum underground in Russia, una pagina con 100.000 like viene venduta a circa 150-200 dollari" ha detto Botezatu. Una volta che un ladro di byte compra una pagina, può cambiargli nome. "Possono fare apparire la pagina come se fosse affiliata a un noto marchio", ha spiegato. "Abbiamo visto una pagina utilizzata per commercializzare falso abbigliamento sportivo Nike". Collegamenti dannosi possono anche essere inviati alla pagina in modo che tutti i visitatori iscritti visualizzeranno i link sulle loro pagine di Facebook, ha aggiunto.
Botezatu ha detto che è improbabile che questo tipo di infezione verrà rilevata da un programma antivirus, a meno che il programma include anche filtri Web. "Questo tipo di minaccia può persistere in un browser per un periodo piuttosto lungo", ha detto. Questa non è la prima volta che le estensioni Chrome sono state utilizzate per lavorare come malware su Facebook. La scorsa primavera, le estensioni canaglia hanno cominciato a comparire nel Web Store di Google promettendo di consentire agli utenti di Facebook di fare cose come cambiare il colore delle pagine del profilo. Di seguito una porzione del codice sorgente tratto da una pagina scam.
Nessun commento:
Posta un commento