Nemucod downloader si diffonde tramite Facebook

Proprio oggi un amico m’ha informato di qualcosa di strano che stava succedendo al suo account Facebook: un messaggio contenente solo un’immagine (o meglio un file .svg) era stata inviato automaticamente bypassando a tutti gli effetti il filtro delle estensioni di Facebook :

Photo_9166.svg

Photo_9166.svg

Cos’è un file .svg? Da Wikipedia :

Scalable Vector Graphics (SVG) è un formato d’immagine vettoriale basato su XML per la grafica bidimensionale con supporto per l’interattività e l’animazione. La specifica SVG è uno standard aperto sviluppato dal World Wide Web Consortium (W3C) nel 1999.

In particolare consente d’integrare qualsiasi contenuto si desideri (come JavaScript). Inoltre qualsiasi browser moderno sarà, quindi, in grado di aprire questo file.

I contenuti di ‘photo’ sono i seguenti:

"Copia del file su Pastebin"

“Copia del file su Pastebin”

Si tratta di uno script pesantemente offuscato, che, dopo l’apertura, reindirizza al seguente sito:

Youtube fasullo "dovete installare l'estensione codec per vedere questo video."

Youtube fasullo “dovete installare l’estensione codec per vedere questo video.”

Un sito web che finge di essere Youtube e che contiene anche un video da Facebook: ovviamente è necessario installare un’estensione aggiuntiva per vederlo 🙂

L’estensione non ha alcuna icona, quindi sembra invisibile e possiede le seguenti autorizzazioni:

Al momento non sono esattamente sicuro di ciò che questa estensione compia, a parte diffondersi automaticamente tramite Facebook (raccogliendo le vostre credenziali durante il processo) ma probabilmente scarica altro malware nella vostra macchina.

Uno dei miei colleghi aveva notato, infatti, un comportamento simile e ha preso un ransomware (Locky) come payload:

La descrizione delle estensioni può essere una delle seguenti e pare semi-casuale. Sono possibili anche altre varianti:

Un ecavu futolaz corabination timefu episu voloda & nbsp;

Ubo oziha jisuyes oyemedu kira nego mosetiv zuhum

Il team di sicurezza di Facebook, così come quello dello store di Google Chrome sono stati avvertiti.

Aggiornamento 22/11/2016

  • Le estensioni rogue di Chrome sono state rimosse dallo store.
  • Facebook ora filtra anche i file SVG:
Test.svg che contiene soltanto un metodo window.alert()

Test.svg che contiene soltanto un metodo window.alert()

 

Rimozione

Rimuovete l’estensione dannosa dal browser immediatamente:

Inoltre effettuate un’analisi col vostro antivirus e cambiate la password di Facebook subito dopo.

Avvertite i vostri amici di aver inviato un file dannoso, o in caso contrario, fate loro sapere che sono stati infettati. Se continuate a ricevere lo stesso messaggio, potreste bloccare i messaggi. temporaneamente

Conclusione

Siate sempre cauti quando qualcuno v’invia solo un”immagine’, specialmente se non è un comportamento usuale per quella persona.

Inoltre, anche se Facebook e Google hanno controlli/misure di sicurezza eccellenti, qualcosa di negativo può sempre accadere.

Per chi fosse interessato, tutti i file correlati sono stati caricati su VirusTotal e i rispettivi hash e domini possono essere trovati, come sempre, su OTX di AlienVault:

(Il post è stato tradotto grazie all’esplicita autorizzazione di Blaze’s Security Blog)

Fonte: Nemucod downloader spreading via Facebook

Written by admin

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *