Social network: attacco ransomware con false immagini. Attenzione a Locky!
Pubblicato da Studio Nassisi® | Servizi Informatici in Alert · Giovedì 24 Nov 2016
Locky è, purtroppo, una nostra "vecchia conoscenza": si tratta di un pericoloso malware appartenente alla categoria dei ransomware, che una volta installatosi sul sistema, inizia immediatamente a crittografare i file dell'utente (documenti, foto, video, ecc...) per poi richiedere il pagamento di una somma di denaro (riscatto) per il loro recupero.
Come già accertato per le ultime varianti di Cryptolocker, faccio subito presente che il livello di crittografia utilizzato da questo virus è così elevato che non esiste alcuno strumento in grado di recuperare i file colpiti da questo malware.
Recentemente la società di sicurezza ESET ha rilevato nel nostro Paese un nuovo picco di infezioni causato dal malware JS/Danger.ScriptAttachment, che da fine ottobre ad oggi ha minacciato circa un terzo degli utenti italiani che navigano su internet.
Nella pratica questo tipo di malware si diffonde attraverso allegati o link fraudolenti inviati via e-mail e, oltre a crittografare i file salvati sui nostri computer, ha anche lo scopo di rubare dati personali e credenziali di accesso verso siti e servizi sensibili online (posta elettronica, home banking, ecc...).
Nelle ultime ore i tecnici di Check Point hanno lanciato un nuovo allarme con il quale hanno illustrato una nuova tecnica di diffusione di Locky attraverso i social network (Facebook e Linkedin in particolare). Una nuova variante di questo virus si sta diffondendo, infatti, attraverso file infetti camuffati da innocue immagini che gli utenti di Facebook e dei social in genere si scambiano continuamente in rete.
Se in passato Locky sfruttava vulnerabilità nel plugin Flash, i suoi autori adesso hanno trovato il modo di sfruttare un bug comune a molti social per indurre gli utenti a scaricare ed eseguire il codice dannoso, presentato - all'apparenza - come una banale immagine. L'utente che riceve il file infetto vedrà scaricarsi sul suo computer un file SVG, JS o HTA. L'apertura del file provocherà l'infezione malware e i file personali dell'utente saranno subito sottoposti a cifratura da parte del ransomware Locky.
In una nota, l'azienda spiega che Check Point pubblicherà una descrizione tecnica dettagliata su questa nuova tipologia di attacco solo dopo che la vulnerabilità verrà risolta sui siti web più colpiti, per evitare che gli hacker traggano vantaggio da queste informazioni.
Facebook e gli altri social interessati sono stati avvisati di questo bug di sicurezza, individuato sulle loro piattaforme, già a inizio settembre e sono al lavoro per sanare questa falla di sicurezza.
Come possiamo difenderci?
Al momento, fintanto che Facebook e LinkedIn non avranno sanato la vulnerabilità presa di mira, il solo suggerimento valido è quello di usare la massima attenzione quando si clicca sui contenuti pubblicati sui social ed evitare di scaricare immagini anche se sembrano provenire da nostri contatti.
Un'immagine non può avere estensione SVG, JS o HTA! Le estensioni più comuni per le immagini sono JPG e PNG. Se un file con estensione diversa da queste dovesse essere scaricato a partire da una pagina social, vi raccomando di cestinarlo subito senza aprirlo.
Un ulteriore e prezioso aiuto può fornirlo il sistema operativo del nostro computer a condizione di attivare la "visualizzazione delle estensioni dei file conosciuti". In questo modo possiamo immediatamente renderci conto se il file che abbiamo scaricato sul nostro PC è veramente un'immagine o piuttosto qualcos'altro.
In questo articolo, pubblicato tempo fa sempre in riferimento ad un altro pericolosissimo ransomware (cryptolocker), ho spiegato come attivare la "visualizzazione delle estensioni dei file conosciuti" sul nostro computer.
Se hai apprezzato questo articolo o ritieni che possa essere di interesse anche per i tuoi contatti condividilo sui tuoi canali social preferiti. A te non costa nulla e darai la possibilità anche ad altri di conoscere il mio lavoro. Grazie!