malware Facebook, state attenti a quel tag: Repubblica.it del 26\08\2013. un malware inganna 500 mila utenti E' attivo da circa 70 ore. L'hanno scoperto due ricercatori italiani e forse è opera di criminali informatici turchi. Colpisce i meno esperti ed è complesso da rimuovere. Ma l'obiettivo non sono i contenuti del social, quanto i dati dei nostri account bancari di ANDREA STROPPA ROMA - Siamo in giro e dallo smartphone arriva la notifica di essere stati taggati su Facebook da una amica. Apriamo il post, c'è un indirizzo e uno smile accanto. La curiosità è tanta, clicchiamo sull'indirizzo che porta a un sito esterno. Una pagina apparentemente normale con al centro un video. Provando a cliccare sul video, si apre una finestra "per guardare il video installa l'estensione". Una finestra che appare tantissime volte, quando ci mancano i plugin per poter eseguire una azione non supportata dal nostro browser. I plugin sono delle applicazioni che permettono di aumentare le funzionalità del proprio browser. Se abbiamo installato il plugin su Chrome e abbiamo cercato di vedere il video c'è il forte rischio di essere stati infettati. E' questo quello che sta accadendo in queste ore nel social network più popolare. Due ricercatori italiani Danny di Stefano e Matt Hofmann hanno intercettato un malware che attacca Chrome, il browser di Google. Un malware che sembrerebbe di provenienza turca dalle prime analisi, ma ci vorrà ancora tempo per conoscerne i dettagli. Si installa nelle "estensioni" o plugin di Chrome, e quindi se avete un browser diverso come Firefox o Internet Explorer (almeno per questo caso specifico) siete al sicuro. Una volta installato, il malware prende possesso del vostro account Facebook e tagga tutti i vostri amici, in post differenti, tutti invitandoli con smile o frasi a cliccare sullo stesso url malevolo. Facendo un "reverse" del codice, cioè analizzando il malware nella sua parte tecnica si è riusciti ad arrivare ad uno "short url", che ha dato informazioni ai due ricercatori italiani sui numeri che sta facendo il malware. In poco meno di 70 ore oltre 550.000 persone (ma i report parlano di una diffusione molto veloce) sono state indirizzate sul sito malevolo, anche se è impossibile sapere quante di loro sono state però infettate. Nonostante il malware sia stato segnalato a Facebook, i criminali stanno creando più indirizzi con lo stesso software malevolo, così da evitare di essere bloccati. Numeri da capogiro, con un oltre 90% di visitatori provenienti da Facebook, che ancora una volta si dimostra la miglior strategia per far circolare velocemente ed infettare migliaia di persone. Il malware non sembra essere particolarmente avanzato tecnicamente ma è perfetto per infettare degli utenti non esperti. Tra le varie funzioni una in particolare lo rende difficile da rimuovere: se l'utente si accorge che il problema è stata l'estensione da lui installata per guardare il video e prova a rimuoverla dal pannello di Google Chrome; ma il malware riconosce l'azione e chiude il browser prima che l'utente possa cancellare il plugin malevolo. Durante l'analisi i due ricercatori sono riusciti a ottenere delle informazioni anche sugli autori del sistema. La macchina utilizzata sembrerebbe essere un server in affitto da una grande società di servizi web, ma gli ip degli autori riconducono alla Turchia. A rafforzare questa tesi anche il codice del malware che contiene, tra le linee del codice, dei commenti in turco. Potenzialmente il malware potrebbe andare oltre la diffusione via Facebook, sembra infatti avere delle funzionalità per intercettare account bancari e relative carte di credito. In questo modo lo scopo diventa molto più criminoso del solito virus di Facebook al quale siamo stati abituati in questi anni. Lo scenario cambia: l'obiettivo non è il social network e quello che contiene ma il profitto che si può trarre dagli account bancari. E' comunque ancora troppo presto per avere tutti i dettagli sul malware, l'unica nota positiva è che gli italiani infetti dovrebbero essere ancora molto pochi, anche se in queste ore si sta diffondendo con maggiore rapidità anche nel nostro paese. Attenzione quindi ai tag, ai link che riceviamo anche via chat. Se apriamo un indirizzo sospetto e ci viene chiesto di installare plugin o di scaricare software chiudiamo immediatamente la pagina anche se questa possa sembrare legittima. Dagli ultimi report delle maggiori case di sicurezza informatica, da anni gli "attacker" utilizzano tecniche che prevedono l'utilizzo dei social network e questa è la prova di quanto possa essere potente come strumento di diffusione. www.repubblica.it/tecnologia/2013/08/26/news/facebook_malware-65312782/?ref=fbprTorna all'indice