QR code per la pagina originale

Koobface, il worm è sempre più social

Una nuova variante del worm Koobface utilizza un sistema particolarmente intelligente per ingannare l'utente: nascondendosi dietro il solito plugin da scaricare, simula anche pagine e video apparentemente inseriti da amici per stimolare il click infetto

,

Un nuovo worm mette a rischio gli utenti attivi sui social network. La scoperta è degli esperti Trend Micro e nella fattispecie trattasi di un attacco molto ben congegnato che, più di qualsiasi altra volta, potrebbe mettere alla prova le capacità discrezionali dell’utenza meno smaliziata.

La minaccia è stata catalogata con il nome di WORM_KOOBFACE.AZ e permette agli autori di eseguire codice sulle macchine attaccate. Ma è la modalità con cui il worm viene portato sul pc dell’utente ad essere particolarmente ingegnosa, sottolineando ancora una volta quanto l’industria del malware abbia evoluto le proprie strategie per riuscire ad aggirare la crescente attenzione che l’utenza pone sul problema (e l’attenzione, si sa, è il primo ed il più efficace degli antivirus).

Koobface si basa sulla condivisione, natura stessa dei social network. Il worm si nasconde dietro un video, proponendo all’utente il solito plugin da scaricare per poter accedere alla riproduzione. La novità sta nel modo in cui tale video è proposto, in quanto inserito nel contesto di una pagina che riprende il nome dell’utente simulando una volta di più una pagina reale fin nei dettagli. Questo lo screenshot (con dettagli schermati) proposto da Trend Micro:

Copia del sito maligno di Koobface

«Un fantatico pezzo di social engeneering» ha sentenziato Trend Micro. Il worm era via via ospitato da diversi IP, tanto che solo nelle ultime ore ne sarebbero stati identificati varie centinaia. Tali IP ospitavano tanto il file html HTML_KOOBFACE.BA simulante la pagina, quanto l’installer .exe maligno. Una volta installatosi, il malware cerca cookies generati da siti web quali facebook.com, hi5.com, friendster.com, myspace.com, bebo.com e netlog.com (ognuno di questi network, pertanto, può essere soggetto all’attacco): così facendo identifica credenziali di accesso a social network vari e tenta di moltiplicare l’infezione autoinviandosi con le note modalità agli amici dell’utente colpito.

Il problema segue un periodo già problematico per un social network quale Facebook, la cui sicurezza è stata messa alla prova da infezioni maligne portate da malintenzionati pronti a sfruttare la piattaforma ed il suo enorme successo per scopi che vanno decisamente al di là della natura del social networking.

Notizie su: