Oficla, il trojan allegato alle false email notifica di Facebook


Una nuova ondata di e-mail nocive distribuisce una variante del trojan Oficla attraverso allegati ZIP, mascherata come notifica di modifica della password di Facebook. Le false-mail recano come oggetto: "La vostra password di Facebook è stata cambiata" e sono dotate di un falso campo "Da", in modo da apparire come se provengono da un fantomatico indirizzo information@facebook.com. La mail spam contiene il seguente messaggio:

"Gentile utente di facebook,
A causa delle misure adottate per garantire sicurezza ai nostri clienti, la tua password è stata cambiata.
Potete trovare la nuova password nel documento allegato.
Grazie,
Il tuo Facebook."

Il file ZIP allegato, chiamato dai ricercatori di MX Security Lab col nome di "Facebook_document.zip" contiene i 36 KB del file eseguibile "Facebook_document.exe". Il trojan è conosciuto come Win32/Oficla.II (NOD), Trojan.Win32.Oficla.lh (Kaspersky), Troj / Mdrop-CWY (Sophos), Win32: Trojan-gen (Avast).

Verranno creati i seguenti file:
% Temp% \ 1.tmp
% System% \ fvfj.sxo

La seguente chiave di registro viene creata:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ idid

La seguente chiave di registro viene modificata:
Shell = [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon]

Oficla di solito è attribuibile ad operazioni con pay-per-install (PPI), in cui altri criminali informatici pagano denaro agli autori del trojan per distribuire i loro malware e scareware. Pertanto, è molto probabile che le vittime che cadono in questo trucco di social engineering, eseguiranno il file "maligno" installando infezioni multiple sul proprio computer. 

Fortunatamente, ad oggi, il tasso di rilevamento basato sulle firme antivirus per questa particolare variante di Oficla è piuttosto elevato, con 34 su 43 motori antivirus su VirusTotal, che lo individuano come dannoso. Come sempre, gli utenti sono invitati a mantenere i loro software di sicurezza aggiornati e trattare gli allegati e-mail con più cautela, anche quando sembrano provenire da fonti attendibili.

Fonte: Mxlab
alle
Etichette: , ,

Nessun commento:

Posta un commento

Iscriviti a: Commenti sul post (Atom)