ImageGate: Attenzione al ransomware "Locky" che si diffonde attraverso Facebook.


In questi ultimi giorni sono aumentate le segnalazioni riguardanti alcuni malware piuttosto pericolosi che vengono diffusi attraverso Facebook. In pratica i ricercatori della Check Point Software Technologies Ltd. hanno scoperto che alcuni cybercriminali sfruttano il Social Network in Blu per forzare gli utenti a scaricare immagini in cui è nascosto una porzione di codice infetto: quando la vittima clicca sul link ricevuto tramite Messenger viene avviato il download del ransomware "Locky". Inoltre in precedenza un altro ricercatore di sicurezza aveva individuato un particolare file SVG, pubblicato sempre su Facebook e che contiene del codice JavaScript infetto: un clic sull'immagine porta l'utente ad un sito con interfaccia simile a YouTube ed al download di un'estensione per Google Chrome necessaria per vedere i video. Tra l'altro anche questo falso codec scarica ed installa sul computer delle vittime il suddetto ransomware "Locky". Tuttavia in questo caso i responsabili del Social Nework in Blu si sono messi subito all'opera ed hanno bloccato la diffusione di link e file e l'estensione è stata rimossa dal Chrome Web Store; anche se c'è da dire che purtroppo il problema è ritornato sotto altra forma. Al riguardo la stessa Check Point ha fatto sapere che l'exploit in questione sfrutta una configurazione errata del sistema di protezione implementato da Facebook: per ingannare l'utente è sufficiente inviare tramite Messenger una normale immagine JPG, la quale, se viene cliccata, scarica sul browser un file HTA, che a sua volta, se viene avviato, installa il ransomware "Locky"; a questo tutti i file presenti sul Pc vengono cifrati e l'unico modo per sbloccare l'accesso è pagare un riscatto. Ad ogni modo questa tecnica di "infezione" è stata denominata "ImageGate" dai responsabili di Check Point e finora ha avuto un discreto successo, dato che molti utenti si fidano di Facebook. In tal proposito Oded Vanunu, Head of Products Vulnerability Research di Check Point, ha spiegato: "Dato che sono sempre di più le persone che passano il proprio tempo sui Social Network, gli hacker hanno iniziato a concentrarsi su come riuscire ad insidiarsi in queste piattaforme. Gli hacker sanno benissimo che in genere questi siti sono "white listed", e per questo cercano sempre nuove tecniche per servirsi dei Social Media come host per le proprie attività malevole. Per difendere gli utenti contro le minacce più avanzate, i ricercatori di Check Point fanno di tutto per capire dove questi criminali colpiranno la prossima volta". In ogni caso per difendersi da tali attacchi l'azienda israeliana ha consigliato di non cliccare su nessun link sospetto e di non eseguire file con estensione HTA, SVG e JS; mentre nel caso in cui si sia già cliccato su un'immagine infetta ed il browser abbia iniziato a scaricare un file, sarebbe buona norma non aprirlo, in quanto qualsiasi Social Network dovrebbe permettere di visualizzare le immagini senza scaricare alcun file sul computer. Comunque sia i responsabili della Check Point hanno fatto sapere che pubblicheranno una descrizione tecnica dettagliata su questo vettore d'attacco solo dopo che la vulnerabilità in questione verrà risolta, in modo da evitare, infine, che gli hacker traggano vantaggio da queste informazioni.

Di seguito un video dimostrativo pubblicato dalla Check Point:

Commenti