Worm blocca l'accesso a Facebook prendendo in ostaggio il Pc


Una nuova versione del worm di messaggistica istantanea (IM) Yimfoca blocca l'accesso a Facebook e chiede alla vittima di completare delle indagini prima di essere ammesso sul sito web. Secondo i ricercatori di Symantec, questo comportamento è molto simile a quello delle truffe comunemente viste sul sito di social networking negli ultimi mesi, tuttavia, è molto più aggressivo. Agli utenti sono dati tre minuti per compilare una delle indagini altrimenti avviene un blocco e non si potrà riprovare fino a quando il computer non viene riavviato. 


La maggior parte di queste indagini cercano di far sottoscrivere alle vittime servizi a sovrapprezzo sui loro telefoni cellulari. Questo viene fatto lasciando una opzione nascosta in una delle pagine. "Le indagini sono provenienti da cpaleads.com, il cui video promozionale offre fino a 1 dollaro per ogni sondaggio completato, rendendo in pratica i cybercriminali, davvero ricchi" osserva Stephen Doherty, il ricercatore di Symantec Security che ha analizzato la minaccia. Agli utenti che non riescono a completare l'operazione, la prima volta, quando si tenta di accedere nuovamente facebook.com, verrà visualizzato un messaggio che dice "tu non hai accesso al tuo account perché non completi questa indagine".


Il messaggio va via solo solo dopo il riavvio del computer, a quel punto si offre di completare nuovamente un sondaggio. Vale la pena notare che facebook.com rimane accessibile tramite altri browser come Mozilla Firefox o Google Chrome. Questo worm si diffonde via spam multi-lingua ed è inviato tramite Google Talk, ICQ, MSN Messenger, Paltalk, Skype, Yahoo Messenger o Xfire. Infetta anche i drive USB. "Se si riceve un link inatteso da un contatto attraverso un messaggio immediato si può sempre rispondere con una domanda sul link per verificare che non si tratta della diffusione malware" consiglia l'esperto di Symantec Doherty. 

Il codice del worm, che viene rilevato come W32.Yimfoca.B, contiene una routine che controlla la posizione dell'utente e invia lo spam nella lingua appropriata. Se il risultato della scansione per rilevare la posizione non è codificato in un elenco di 44 paesi, il malware ricade nei messaggi in inglese, dove si può leggere “seen this? [link]” or “this is the funniest photo ever! [link].” ("visto questo? [Link] "o" questo è la foto più divertente che mai! [Link] ". Il worm infetta anche rimovibili drive USB inseriti nel computer. Ecco un frammento del codice di W32.Yimfoca.B:

http://www.symantec.com/

"L'icona di collegamento sarà quella di una cartella, per cui un utente può essere portato a credere che questa sia la cartella originale ", spiega il ricercatore. Il malware si installa sotto Applicazioni dati come un file denominato jutched.exe, una leggera variazione del nome jusched.exe, l'aggiornamento di componenti Java legit scheduler. In realtà, Yimfoca.B crea anche una chiave di avvio in HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ chiamata "Java Update Manager". 

Il worm è utilizzato come piattaforma di distribuzione per altri tipi di malware, forse come parte di infezioni si sistemi a pagamento per l'installazione, così gli utenti che sono vittime di attacchi di ingegneria sociale IM, avranno probabilmente più malware sul loro computer. Abbiamo anche visto la stessa tecnica utilizzata in Facebook e Twitter truffe all'inizio di quest'anno. Proprio il mese scorso, sono stati compromessi account di Facebook ed utilizzati per indirizzare gli utenti ad applet Java dannose. Noi consigliamo di prestare la massima attenzione quando si ricevono messaggi, anche da amici, e nel caso il sistema sia stato compromesso effettuare una scansione col programma Malwarebytes.

Nessun commento:

Posta un commento