mercoledì 4 novembre 2009

Facebook Phishing “Cocktail attack”'

Sempre attiva la campagna di phishing ai danni di Facebook che vede adesso la presenza di un utilizzo combinato di malware e falso AV.

Come riporta infatti il blog MacAfee le ultime mails di spam ai danni di utenti Facebook vengono utilizzate per un attacco combinato sia eseguendo malware ma anche un falso Av sulla macchina colpita.

In pratica abbiamo :

La notifica di un messaggio di spam con l'indicazione che, per motivi di sicurezza, la propria password di accesso a Facebook e' stata cambiata, ed e' disponibile nel documento allegato.
Il download di malware keylogger per raccogliere i numeri di carta di credito, password di altri dati sensibili dalle macchine delle vittime '.

Il download di un falso prodotto AV che disabilita molte applicazioni, come ad esempio Notepad, Wordpad, ecc... fino a quando non viene registrato a pagamento.

Ecco alcuni ulteriori dettagli, sempre proposti dal post sul blog MacAfee

Innanzitutto la mail di spam cerca di convincere gli utenti della sua provenienza 'genuina' da Facebook

forzando l'indirizzo nel campo FROM come 'Facebook Privacy Policy'.

Il file zip allegato contiene un file con icona relativa ad foglio di calcolo e al momento dell'apertura dopo aver installato il malware si autodistrugge.

A questo punto il malware installato esegue una connessione al server dell'attaccante attraverso la porta HTTP e tenta di scaricare ulteriori 'carichi utili' sulla macchina ora infetta.
Il malware scarica un keylogger e lo esegue di nascosto raccogliendo informazioni come la password di login, numeri di carta di credito, ecc che invia ad un server remoto tramite una backdoor creata allo scopo.

Se non bastasse questo, mentre prosegue il furto dei dati, il malware tenta anche di scaricare un falso prodotto di sicurezza.
Il falso AV viene installato in maniera nascosta e termina quasi tutte le applicazioni aperte: Notepad, Calcolatrice, Editor del Registro, Task Manager, e altri. (Non termina invece Internet Explorer, perche' ne ha bisogno di IE per comunicare con il server malware)

Dopo aver chiuso queste applicazioni il malware propone un falso allarme,

sostenendo che l'applicazione che tentiamo di aprire e' infetta e dovremo per riattivarla, registrare il falso Av, naturalmente a pagamento.

McAfee blog conclude evidenziando come dopo lo spam ed il phishing ai danni di Social Networks che si limitava in passato, ad esempio alla vendita di pharmacy ora chi gestisce queste attivita' illecite vuole 'venderci' falsi AV ma nel contempo tenta anche di appropriarsi di nostri dati personali riservati come password di accesso, numeri di carta di credito ...ecc...

Edgar

Nessun commento: