Tra il 24 e il 27 giugno, migliaia di utenti ignari hanno ricevuto un messaggio da un amico di Facebook che diceva di averli menzionati in un commento. Il messaggio era stato invece inviato da un criminale e faceva parte di un attacco a due fasi. A scoprirlo i ricercatori di Kaspersky Lab.
La prima prevedeva il download sul computer dell’utente di un Trojan che installava, tra le altre cose, un’estensione nociva del browser Chrome. Essa permetteva la seconda fase: il furto dell’account Facebook dell’utente al successivo login effettuato tramite il browser compromesso. Un attacco andato a buon fine permetteva al gruppo criminale di cambiare le impostazioni di sicurezza, rubare informazioni e altro ancora, mettendolo nelle condizioni di diffondere l’infezione tra gli amici di Facebook della vittima o compiere altre attività nocive come lo spam, il furto d’identità e la generazione di falsi “mi piace” o condivisioni. Il malware provava a proteggersi impedendo l’accesso ad alcuni siti, come quelli appartenenti a vendor di software di sicurezza.
Kaspersky Security Network ha registrato poco meno di 10.000 tentativi di infezione in tutto il mondo. I Paesi più colpiti sono stati Brasile, Polonia, Perù, Colombia, Messico, Grecia, Portogallo, Tunisia, Venezuela, Germania e Israele.
Le persone che usano computer basati su Windows per accedere a Facebook sono state quelle maggiormente in pericolo, ma anche chi usa smartphone con lo stesso sistema operativo potrebbe essere stato esposto a rischio. Gli utenti dei dispositivi Android e iOS si sono invece rivelati immuni, in quanto il malware usava librerie non compatibili con i sistemi operativi di questi cellulari.
Il downloader del Trojan usato dai cyber criminali non è nuovo, era stato scoperto circa un anno fa, sfruttato per un processo d’infezione simile. In entrambi i casi, i caratteri testuali usati nel malware fanno pensare a un gruppo criminale di lingua turca.
Facebook ha ora ridotto questa minaccia e sta bloccando le tecniche utilizzate per diffondere il malware tramite i computer infetti, affermando di non aver notato altri tentativi d’infezione. Anche Google ha rimosso dal web store di Chrome almeno una delle estensioni nocive.
“Si distinguono due aspetti di questo attacco. In primo luogo, la diffusione del malware era estremamente efficace, raggiungendo migliaia di utenti in sole 48 ore. In secondo luogo, la risposta da parte degli utenti e dei media è stata quasi altrettanto rapida. La loro reazione ha sensibilizzato sulla campagna e comportato una rapida risposta e un’indagine da parte dei fornitori coinvolti”, spiega Ido Naor, Senior Security Researcher del Global Research and Analysis Team di Kaspersky Lab.
Gli utenti che pensano di poter essere stati infettati dovrebbero effettuare una scansione anti-malware sul proprio computer o aprire il browser Chrome e cercare estensioni insolite. Se sono presenti, dovrebbero uscire dai loro profili Facebook, chiudere il browser e staccare il cavo di rete dal computer. È quindi necessario chiedere aiuto a un professionista per trovare ed eliminare il malware.
Infine, Kaspersky Lab consiglia a tutti gli utenti di seguire alcune semplici regole di cyber sicurezza:
· Installare una soluzione anti-malware su tutti i dispositivi e tenere aggiornato il software del sistema operativo.
· Evitare di cliccare sui link contenuti in messaggi che provengono da persone sconosciute o in messaggi inaspettati di amici.
· Prestare attenzione ogni volta che si è online o sui social media: se qualcosa sembra solo leggermente sospetto, probabilmente lo è.
· Implementare impostazioni della privacy appropriate sui social media come Facebook.
