Un trojan normale, reso speciale da Facebook

Una mail in arrivo. Un oggetto conosciuto, un tema che attira l’attenzione, un allegato. Nel testo v’è l’invito ad aprire l’allegato. Chi naviga sul Web sa che, quando lo schema è questo, l’ultima cosa da fare è aprire il file senza prima controllare la provenienza della mail. L’inganno, però, scatta quando si riesce a superare questa barriera psicologica e si porta l’utenza al click. Ciò che rende speciale un virus rispetto alla media è in questo processo, nelle modalità con cui si scatena la molla psicologica del click privo di precauzioni. Ed è questa la peculiarità della nuova versione del trojan Bredolab.

Bredolab si presenta nelle caselle di posta con un “Password Reset Confirmation Email” che inevitabilmente attira l’attenzione poiché indica il reset della password su Facebook e la necessità di ripristinare l’account. Il testo approfondisce l’argomentazione dopo che l’oggetto ha attirato la curiosità dell’utente: «Hey, a causa delle misure intraprese per assicurare i nostri clienti, la tua password è stata cambiata. Puoi trovare la nuova password nel documento allegato. Grazie, The Facebook Team». Lo schema, quindi, è del tutto chiaro. Facebook però fa la differenza, perché rappresenta un marchio estremamente noto stuzzicando il click con l’annuncio della possibile sospensione del’account.

Bredolab è in circolazione ormai da mesi e si è già riciclato sotto varie forme. Quella che fa leva su Facebook appare però come una delle più insidiose per un worm che nel mese di Settembre il Malware Protection Center Microsoft indicava ad un livello di pericolosità “severo”.

La segnalazione del propagarsi della nuova versione giunge da MXLab, ove si spiega che la mail giunge da un fasullo “service@facebook.com” e propone un allegato del tipo “Facebook_Password_4cf91.zip” al cui interno è nascosto il file “Facebook_Password_4cf91.exe”. L’apertura porta all’installazione di quello che McAfee definisce come Bredolab.gen.a.