malware
Facebook, state attenti a quel tag:
Repubblica.it del 26\08\2013.

un malware inganna 500 mila utenti
E' attivo da circa 70 ore. L'hanno scoperto due ricercatori italiani e forse è opera di criminali 
informatici turchi. Colpisce i meno esperti ed è complesso da rimuovere. Ma l'obiettivo non sono i 
contenuti del social, quanto i dati dei nostri account bancari di ANDREA STROPPA

ROMA - Siamo in giro e dallo smartphone arriva la notifica di essere stati taggati su Facebook da 
una amica. Apriamo il post, c'è un indirizzo e uno smile accanto. La curiosità è tanta, clicchiamo 
sull'indirizzo che porta a un sito esterno. Una pagina apparentemente normale con al centro un 
video. Provando a cliccare sul video, si apre una finestra "per guardare il video installa 
l'estensione". Una finestra che appare tantissime volte, quando ci mancano i plugin per poter 
eseguire una azione non supportata dal nostro browser. I plugin sono delle applicazioni che 
permettono di aumentare le funzionalità del proprio browser. Se abbiamo installato il plugin su 
Chrome e abbiamo cercato di vedere il video c'è il forte rischio di essere stati infettati.

E' questo quello che sta accadendo in queste ore nel social network più popolare. Due ricercatori 
italiani Danny di Stefano e Matt Hofmann hanno intercettato un malware che attacca Chrome, il 
browser di Google. Un malware che sembrerebbe di provenienza turca dalle prime analisi, ma ci vorrà 
ancora tempo per conoscerne i dettagli. Si installa nelle "estensioni" o plugin di Chrome, e quindi 
se avete un browser diverso come Firefox o Internet Explorer (almeno per questo caso specifico) 
siete al sicuro. Una volta installato, il malware prende possesso del vostro account Facebook e 
tagga tutti i vostri amici, in post differenti, tutti invitandoli con smile o frasi a cliccare 
sullo stesso url malevolo.

Facendo un "reverse" del codice, cioè analizzando il malware nella sua parte tecnica si è riusciti 
ad arrivare ad uno "short url", che ha dato informazioni ai due ricercatori italiani sui numeri che 
sta facendo il malware. In poco meno di 70 ore oltre 550.000 persone (ma i report parlano di una 
diffusione molto veloce) sono state indirizzate sul sito malevolo, anche se è impossibile sapere 
quante di loro sono state però infettate. Nonostante il malware sia stato segnalato a Facebook, i 
criminali stanno creando più indirizzi con lo stesso software malevolo, così da evitare di essere 
bloccati.

Numeri da capogiro, con un oltre 90% di visitatori provenienti da Facebook, che ancora una volta si 
dimostra la miglior strategia per far circolare velocemente ed infettare migliaia di persone. Il 
malware non sembra essere particolarmente avanzato tecnicamente ma è perfetto per infettare degli 
utenti non esperti. Tra le varie funzioni una in particolare lo rende difficile da rimuovere: se 
l'utente si accorge che il problema è stata l'estensione da lui installata per guardare il video e 
prova a rimuoverla dal pannello di Google Chrome; ma il malware riconosce l'azione e chiude il 
browser prima che l'utente possa cancellare il plugin malevolo.

Durante l'analisi i due ricercatori sono riusciti a ottenere delle informazioni anche sugli autori 
del sistema. La macchina utilizzata sembrerebbe essere un server in affitto da una grande società 
di servizi web, ma gli ip degli autori riconducono alla Turchia. A rafforzare questa tesi anche il 
codice del malware che contiene, tra le linee del codice, dei commenti in turco.

Potenzialmente il malware potrebbe andare oltre la diffusione via Facebook, sembra infatti avere 
delle funzionalità per intercettare account bancari e relative carte di credito. In questo modo lo 
scopo diventa molto più criminoso del solito virus di Facebook al quale siamo stati abituati in 
questi anni. Lo scenario cambia: l'obiettivo non è il social network e quello che contiene ma il 
profitto che si può trarre dagli account bancari.

E' comunque ancora troppo presto per avere tutti i dettagli sul malware, l'unica nota positiva è 
che gli italiani infetti dovrebbero essere ancora molto pochi, anche se in queste ore si sta 
diffondendo con maggiore rapidità anche nel nostro paese. Attenzione

quindi ai tag, ai link che riceviamo anche via chat. Se apriamo un indirizzo sospetto e ci viene 
chiesto di installare plugin o di scaricare software chiudiamo immediatamente la pagina anche se 
questa possa sembrare legittima. Dagli ultimi report delle maggiori case di sicurezza informatica, 
da anni gli "attacker" utilizzano tecniche che prevedono l'utilizzo dei social network e questa è 
la prova di quanto possa essere potente come strumento di diffusione.

www.repubblica.it/tecnologia/2013/08/26/news/facebook_malware-65312782/?ref=fbpr