Quando il worm si espande tramite Facebook

La nuova frontiera dei worm è quella dei social network. Mentre privati e aziende si fiondano su Facebook per curare le proprie relazioni o i propri affari, infatti, l’industria del malware vede in questo nuovo orizzonte grandi opportunità a basso costo identificabili in milioni di utenti a portata di click.

Sophos ha segnalato un nuovo sistema di infezione basato su un meccanismo noto, la cui novità è nella peculiare capacità di sfruttare Facebook come veicolo di moltiplicazione. Il tranello è basato sul funzionamento dei “like” di Facebook poiché simula un vero e proprio “like” su un utente A, viene così presentato ad un utente “B” e quest’ultimo cade a sua volta nel tranello coinvolgendo potenzialmente un soggetto “C” che ne vede la segnalazione sulla propria bacheca.

Centinaia di migliaia di utenti sarebbero rimasti coinvolti soltanto durante l’ultimo weekend. Per queste ultime i messaggi comparsi sulla bacheca sono i seguenti:

• LOL This girl gets OWNED after a POLICE OFFICER reads her STATUS MESSAGE
• This man takes a picture of himself EVERYDAY for 8 YEARS!!
• The Prom Dress That Got This Girl Suspended From School
• This Girl Has An Interesting Way Of Eating A Banana, Check It Out!

Al click si giunge su una pagina bianca con una sola indicazione del tipo “clicca qui per continuare”. Il click su qualsiasi punto della pagina attiva un iframe che equivale ad un “like”. Le pagine identificate risulterebbero infettate dal cosiddetto Troj/Iframe-ET. I numeri non sono tali da alzare immediatamente l’allarme ad un livello eccessivo, ma lo schema di tipo “social-engineering” è interessante poichè dimostra come un malware sia in grado di approfittare di un social network per perpetrare i medesimi meccanismi già sperimentati su email, siti web, instant messenger ed altri veicoli ancora.