Facebook: Il tag assassin - Pericolo Virus

70 ore fa è stato attivato. A scoprirlo due ricercatori italiani e forse forse opera di criminali informatici di derivazione turca. La particolarità è che colpisce i meno esperti ed è estremamente complesso da rimuovere. Nato con l'obiettivo non dei contenuti del social, ma precisamente dei dati dei nostri account bancari

Piccolo esempio: stiamo girando e dallo smartphone arriva la notifica di alcuni tag su Facebook da una amica. Così vediamo il post, c'è un indirizzo con uno smile accanto. Giustamente la nostra curiosità aumenta, clicchiamo sull'indirizzo e andiamo ad un sito esterno. Una pagina che sembra normale con al centro un video. Click a cliccare sul video, si apre una finestra "per guardare il video installa l'estensione". La finestra  appare tantissime volte, quando ci mancano i plugin per poter eseguire una azione non supportata dal nostro browser. Per chi non lo sapesse i plugin sono delle applicazioni che aumentano le funzionalità del nostro browser. Se installiamo il plugin su Chrome e cerchiamo di vedere il video c'è il forte rischio di essere stati infettati.

Questo accade in queste ore nel social network più famoso. I ricercatori italiani Di Stefano e Hofmann hanno intercettato il malware che attacca Chrome, il browser di Google. Una volta installato, il malware entra in possesso del vostro account Facebook e tagga tutti  i vostri amici, in diversi post, tutti invitandoli con smile o frasi per indurli a cliccare sullo stesso link vostro. 

Nel "reverse" del codice, e  cioè guardando la parte tecnica del malware si è arrivati ad uno "short url", che ha dato le informazioni sui numeri che sta facendo il malware. In 70 ore oltre 550.000 persone sono state indirizzate sul sito malevolo, anche se è impossibile sapere quante sono state infettate. Nonostante il malware sia stato segnalato a Facebook, i criminali stanno creando più indirizzi con lo stesso software malevolo, così da evitare di essere bloccati.

Oltre 90% di visitatori provenienti da Facebook, che ancora una volta si dimostra la miglior strategia per far circolare velocemente ed infettare migliaia di persone. Il malware non sembra essere avanzato tecnicamente ma è perfetto per infettare tutti gli utenti non esperti. Tra le varie funzioni quella più particolare lo rende difficile da rimuovere: se l'utente si accorge che il problema deriva dall'estensione che ha installato per guardare il video e tenta la rimozione dal pannello di Google Chrome, il malware riconosce l'azione e chiude il browser prima che l'utente possa cancellare il plugin.

 La macchina usata è un server in affitto di una grande società di servizi web, mentre gli ip degli autori riconducono alla Turchia. La tesi è convincente perchè il codice del malware contiene, tra le linee del codice, commenti in turco.

Però il malware potrebbe andare oltre la diffusione Facebook, infatti ha funzionalità per intercettare account bancari e carte di credito. Quindi lo scopo diventa molto più criminoso del solito virus di Facebook al quale siamo stati abituati. 

L'obiettivo non è il social network ma il profitto che si può trarre dagli account bancari.

Pochi gli italiani colpiti. Attenzione quindi ai tag, ai link che riceviamo da tutti. Occhio a indirizzi sospetti  che ci chiede di installare plugin o di scaricare software chiudiamo immediatamente la pagina anche se questa sembrare legittima. Da anni gli "attacker" utilizzano tecniche che utilizzano i social network e questa è la prova di quanto possa essere potente come strumento di diffusione.