Il malware di Facebook via tag

Malware-en-FacebookGi√† da un bel po’ di tempo avrete visto alcuni dei vostri contatti Facebook postare la seguente catena di Sant’Antonio:

Oltre al video porno ūüė° c’√® un nuovo hacker su Facebook.
Esce tra i commenti dei tuoi contatti una frase offensiva da parte tua. ūüė° E ‘ davvero brutto e sembra che sia partito dal tuo profilo. Tu non lo vedi, ma i tuoi amici s√¨. Ci√≤ pu√≤ creare offese e malintesi. Inoltre arrivano anche messaggi in privato su messenger che contiene virus … non apritelo…ūüė†Voglio dire a tutti i miei contatti che se arriva qualcosa di offensivo non proviene da me personalmente ūüė£Grazie.
Copia ed incolla ripeto non condividere ma semplicemente copia ed incolla sul tuo stato…

Al di l√† degli orrendi errori non solo grammaticali ma anche d’espressione che tolgono quel briciolo restante¬†di¬†speranza nell’umanit√† che ancora potevo dire d’avere, un¬†simile¬†malware effettivamente si era attivato ma non funzionava proprio come questo post suggeriva.

COME FUNZIONA

Nella nostra pagina Facebook compare in alto a destra l’avviso che siamo stati menzionati, o taggati, da un nostro amico: come d’abitudine vi clicchiamo sopra per vedere il commento fatto ma, a questo, punto senza rendercene conto scarichiamo un file che, una volta ricevuto, prende il controllo del nostro browser (principalmente Chrome). Praticamente, selezionando il tag il nostro computer viene ridiretto ad aprire un link di Google Docs che scarica in automatico un file in JavaScript, chiamato¬†comment_27734045.jse, che altro non √® che un Trojan (ovvero¬†un codice¬†aggiunto¬†all‚Äôinterno del linguaggio¬†di programmazione di un software e che si installa assieme ad esso rimanendo nascosto il che significa che, spesso e volentieri, non abbiamo la pi√Ļ pallida idea di averne scaricato uno: si trova, l√¨, nel nostro computer ma non abbiamo nessun segnale o sintomo della sua presenza). Questo JavaScript attiva un file .exe chiamato AutoIT, un compiler,¬†compatibile con i vari tipi di Windows. Osservando i frammenti dell’intero codice utilizzato e riportati qui¬†possiamo notare come la sua “parte cattiva”¬†inizi subito dopo il commento:¬†#NoTrayIcon.

Questo virus apre anche una falsa pagina di Facebook identica in tutto e per tutto a quella originale e che ci invita ad inserire le nostre credenziali per potersene appropriare. Non solo, ma una volta cliccato sul tag ed installato, il virus contatterà con una menzione simile a quella che abbiamo ricevuto tutti gli account dei nostri amici e contatti su Facebook nel tentativo di contagiare anche il loro computer.

Cercando di non scavare ed andare troppo nello specifico prover√≤ a spiegare tecnicamente¬†cosa succede il momento in cui il virus viene scaricato.¬†Quando¬†il pacchetto virus¬†si installa nel computer (facciamo quindi attenzione a non accettare alcun tipo di richiesta d’installazione) questi va¬†a cercare il¬†Command & Control Server (C&Cs), ovvero un server in grado di istruirlo su cosa fare, su¬†come cifrare i dati da estrarre e da cui scaricare ulteriori file necessari per portare a termine la propria missione. Nell’immagine qui sotto riportata (postata originariamente da SecureList nell’articolo di Ido Naor dedicato a questo Malware e da cui sto prendendo spunto per questo articolo) nella prima parte del codice vediamo le stringhe responsabili dell’apertura e della connessione al C&Cs seguite da quelle che vengono utilizzare per leggere i file da esso inviati e convertirne il formato dall’originale .jpeg ai seguenti (a seconda del loro nome):¬†.exe, per caricare gli script del file .au3 ovvero il codice del malware, .json per configurare delle estensioni per il browser Chrome,¬†.dat che sarebbe la versione del malware,¬†.js¬†che indica altri scripts che supportano le estensioni di Chrime per collezionare le varie statistiche di navigazione dei malcapitati e .bat ovvero un gruppo di file che esegue ed aggiunge gli .au3 come argomenti.
fbmalware_eng_6

A questo punto aprendo il folder %AppData%\Mozila, per esempio, potremo notare la comparsa di nuovi file con le estensioni annotate poc’anzi. Inoltre, molto probabilmente, sul nostro schermo saranno comparse delle short-cut con l’icona di Chrome e lo stesso browser si sar√† spento e riavviato da solo: ma se questo non fosse capitato comunque l’utente sar√† invogliato a cliccare su una delle icone comunque comparse sul suo schermo. La nuova pagina di Chrome, come abbiamo gi√† notato, presenter√† il sito di Facebook su cui verr√† richiesto il login e vi sar√† anche presente una nuova estensione. Attenzione per√≤: il browser ci richieder√† anche di ripristinare le pagine che si sono precedentemente spente avvertendoci, in qualche modo, che la pagina di Facebook che abbiamo di fronte non pu√≤ essere la stessa che si era spenta poco prima dato che non l’abbiamo ancora ripristinata!

In sole quarant’otto ore, infatti, secondo il KSN (Kaspersky Security Network) vi sono state, nel mondo, milioni di tentativi di far dilagare questo virus, dopodich√© la minaccia si √® ridimensionata. Facebook, infatti, √® subito corso ai ripari mitigando il pi√Ļ velocemente possibile la situazione e fermando la sua corsa.

Il sistema operativo attaccato da questo tipo di malware √® solamente¬†Windows¬†(compreso Windows mobile) probabilmente perch√© chi ha scelto di creare questo virus ha voluto concentrarsi sulla pi√Ļ larga fetta di popolazione. I sistemi Android ed iOS, invece, ne sono totalmente immuni grazie al fatto che tale malware √® stato programmato per utilizzare delle librerie che non sono presenti all’interno di essi.

I Paesi pi√Ļ colpiti, secondo la torta che riporto qui sotto e che proviene dal sito di SecureList (qui) sono: Brasile, Polonia, Per√Ļ,¬†Venezuela, Germania, Messico, Tunisia, Israele, Grecia, Ecuador, Colombia, Portogallo.¬†fbmalware_eng_2

L’utilizzo di questo¬†tipo di download e trojan, in cui sono presenti variabili in turco e commenti nei suoi file, non √® nuovo ma risale a pi√Ļ di un anno fa e viene fatto risalire agli attori¬†BePush/Killim che attaccano di norma proprio i socialnetwork. Anche nel codice del malware in questione vi sono tracce di turco, per esempio, nella scelta del nome utilizzato nella cartella di destinazione dei file malevoli ovvero:¬†Mozklasor¬†che altro non significa che Mozilla Folder (cartella per Mozilla). BePush/Killim sono, inoltre, conosciuti per il loro utilizzo di infrastrutture gratuite ed opensource come:

  • Amazon AWS –¬†per l’hosting dei contenuti
  • Dropbox, Microsoft Azure e Box.com – per l’hosting dei¬†binaries
  • Bitly, Tinyurl, Godaddy, Imgur e Dot.tk ¬†–¬†per ridirigere
  • WhosAmungUs – per il¬†tracking
  • Stellar – per l’hosting del portafoglio¬†bitcoin
  • Google – per ridirigere, per le estensioni di Chrome ed il¬†binary hosting
  • CloudFlare – per offuscare le infrastutture

COME CAPIRE E COSA FARE SE IL NOSTRO PC HA CONTRATTO IL VIRUS

Capire se il nostro pc √® stato infettato √® abbastanza semplice: baster√† aprire il nostro browser Chrome e controllare se √® presente un’estensione con il nome¬†thnudoaitawxjvuGB. Per fare ci√≤¬†seguiamo questi passi:

  1. Apriamo Chrome.
  2. In alto all’estrema destra vi √® un’icona con¬†tre linee parallele orizzontali: clicchiamoci.
  3. Clicchiamo su Impostazioni: si aprirà una finestra.
  4. A sinistra della pagina che si sarà aperta selezioniamo la dicitura Estensioni.
  5. Cerchiamo scrollando l’estensione chiamata¬†thnudoaitawxjvuGB: se la troviamo il nostro pc √® infetto.

Per controllare ulteriormente c’√® un’altra possibilit√†:

  1. Clicchiamo con il tasto destro del mouse sull’icona di Windows¬†in basso all’estrema sinistra e selezioniamo Run (Corri).
  2. Si aprir√† una piccola finestrella su cui dovremo scrivere¬†%AppData%\Mozila¬†se si aprir√† una cartella contenente file come¬†‚Äúautoit.exe‚ÄĚ e¬†‚Äúekl.au3‚ÄĚ allora il nostro pc √® infetto.

Se effettivamente il nostro pc risulta infetto dovremo disconnetterci subito da Facebook se abbiamo già fatto il login senza pensare, aggiornare il nostro antivirus e fare uno scan completo sia con quello che con Malwarebytes tanto per stare tranquilli. Dopodiché riavviamo il pc e rifacciamo di nuovo lo scan per controllare che nessun residuo sia rimasto.

Possiamo comunque continuare ad aprire le menzioni dei nostri amici su Facebook: semplicemente controlliamo sempre di non scaricare nemmeno per errore file di cui non conosciamo la provenienza o che, soprattutto, si aprono magicamente dopo aver cliccato su un tag.

FONTI:
Hacker News: https://news.ycombinator.com/item?id=11983414
SecureList: https://securelist.com/blog/incidents/75237/facebook-malware-tag-me-if-you-can/

Share the love

Comincia la discussione

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *