L'uccisione di Bin Laden sfruttata per diffondere malware

Come spesso accade ormai da tempo, fatti di cronaca, eventi catastrofici o comunque di estrema rilevanza vengono utilizzati per diffondere malware o per sottrarre dati agli utenti. Anche l'uccisione di Bin Laden, come segnala sin dalle prime ore da Kaspersky e da Symantec, è stata utilizzata per questi scopi e le bacheche di parecchi utenti di Facebook sono state invase da falsi link verso altrettanto falsi video relativi all'operazione dei militari americani.

Per quanto riguarda Facebook il meccanismo utilizzato è ormai noto: la “catena dell’infezione” trova origine in un messaggio di chat proveniente da un amico, nel quale si legge "Guarda il video dell'uccisione di Osama Bin Laden!”, accompagnato da un link. Il messaggio inizia con il vero nome della vittima, fatto che contribuisce ad aumentarne la credibilità. Il link rimanda a una pagina in cui sono riportate una serie di istruzioni in base alle quali, per visualizzare il video in questione, l'ignaro utente viene invitato a incollare il "codice video" direttamente nella barra di indirizzo del browser. Un tipo di richiesta che può apparire inusuale nel contesto di un post all'interno di un blog; quando però la richiesta proviene da messaggio di chat di un amico che si conosce bene e di cui ci si fida, può succedere di cadere facilmente nel tranello.

Il codice che l’utente ignaro incolla nella barra degli indirizzi è un JavaScript che richiama un secondo file JavaScript presente su un sito Web violato. Questo secondo file passa in rassegna tutti i contatti dell’utente inviando loro messaggi di chat, creando un evento al quale tutti gli amici vengono invitati e continuando ad aggiornare il status dell’utente colpito su Facebook. Questo vuol dire che il link al video viene immediatamente postato sul suo profilo Facebook fungendo da esca per altri iscritti a Facebook ignari della truffa; il video è quindi oggetto di spam in messaggi di chat personalizzati e inviti a eventi indirizzati a tutti gli amici e conoscenti dell’utente “vittima”.

Websense ha anche individuato come fonte per la diffusione di malware il sito di Sohaib Athar (@ReallyVirtual), risorsa web utilizzata per diffondere informazioni in tempo reale durante i minuti nei quali era in corso il blitz americano. Sohaib Athar avrebbe collegato il proprio account Twitter al proprio sito web che però è stato compromesso da ignoti grazie a un kit di exploit Black Hole.

Questo kit permette di diffondere diversi tipi di malware, da scareware o Rogue AV a Trojan personalizzati per rubare informazioni come le credenziali bancarie. E’ interessante notare che in questa circostanza sia le agenzie di stampa che i principali siti Web, come CNN/Money, hanno pubblicato il link Twitter che reindirizzava al sito infetto. Come fare per proteggersi? La ricetta è sempre la solita: sistema operativo aggiornato, suite di sicurezza aggiornata e configurata, oltre a un minimo di attenzione delle sessioni di "click compulsivo".