Social network: attacco ransomware con false immagini. Attenzione a Locky! - News, alert e approfondimenti dal mondo dell'informatica - Studio Nassisi Udine, cell. 347.4795351

Vai ai contenuti

Menu principale:

Social network: attacco ransomware con false immagini. Attenzione a Locky!

Pubblicato da in Alert ·
Tags: ransomwareattaccosusocialimmaginiinfettesuFacebook
Locky è, purtroppo, una nostra "vecchia conoscenza": si tratta di un pericoloso malware appartenente alla categoria dei ransomware, che una volta installatosi sul sistema, inizia immediatamente a crittografare i file dell'utente (documenti, foto, ecc...) per poi richiedere il pagamento di una somma di denaro (riscatto) per il loro recupero. Come per le ultime varianti di Cryptolocker, faccio subito presente che il livello di crittografia utilizzato da questo virus è così elevato che non esiste alcuno strumento in grado di recuperare i file colpiti da questo malware.

Recentemente la società di sicurezza ESET ha rilevato nel nostro Paese un nuovo picco di infezioni causato dal malware JS/Danger.ScriptAttachment, che da fine ottobre ad oggi ha minacciato circa un terzo degli utenti italiani che navigano su internet.

Nella pratica questo tipo di malware si diffonde  attraverso allegati o link fraudolenti inviati via e-mail e, oltre a crittografare i file salvati sui nostri computer, ha anche lo scopo  di rubare dati personali e credenziali di accesso verso siti e servizi  sensibili online (posta elettronica, home banking, ecc...).

Nelle ultime ore i tecnici di Check Point hanno lanciato un nuovo allarme con il quale hanno illustrato una nuova tecnica di diffusione di Locky attraverso i social network (Facebook e Linkedin in particolare). Una nuova variante di questo virus si sta diffondendo, infatti, attraverso file infetti camuffati da innocue immagini che gli utenti di Facebook e dei social in genere si scambiano continuamente in rete.

Se in passato Locky sfruttava vulnerabilità nel plugin Flash, i suoi autori adesso hanno trovato il modo di sfruttare un bug comune a molti social per indurre gli utenti a scaricare ed eseguire il codice dannoso, presentato - all'apparenza - come una banale immagine. L'utente che riceve il file infetto vedrà scaricarsi sul suo computer un file SVG, JS o HTA. L'apertura del file provocherà l'infezione malware e i file personali dell'utente saranno subito sottoposti a cifratura da parte del ransomware Locky.

In una nota, l'azienda spiega che Check Point pubblicherà una descrizione tecnica dettagliata su questa nuova tipologia di attacco solo dopo che la vulnerabilità verrà risolta sui siti web più colpiti, per evitare che gli hacker traggano vantaggio da queste informazioni. Facebook e gli altri social interessati sono stati avvisati di questo bug di sicurezza, individuato sulle loro piattaforme, già a inizio settembre e sono al lavoro per sanare questa falla di sicurezza.

Il meccanismo con cui Locky riesce ad infettare gli utenti dei social è chiaramente illustrato nel video prodotto dalla stessa Check Point, che potete vedere cliccando qui.

Come fare per difendersi? Al momento, fintanto che Facebook e LinkedIn non avranno sistemato la vulnerabilità presa di mira, il solo suggerimento valido è quello di usare la massima attenzione quando si clicca sui contenuti pubblicati sui social ed evitare di scaricare immagini anche se sembrano provenire da nostri contatti.

Un'immagine non può avere estensione SVG, JS o HTA! Le estensioni più comuni per le immagini sono JPG e PNG. Se un file con estensione diversa da queste dovesse essere scaricato a partire da una pagina social, vi raccomando di cestinarlo subito senza aprirlo. Un ulteriore e prezioso aiuto può fornirlo il sistema operativo del nostro computer a condizione di attivare la "visualizzazione delle estensioni dei file conosciuti". In questo modo possiamo immediatamente renderci conto se il file che abbiamo scaricato sul nostro PC è veramente un'immagine o piuttosto qualcos'altro. In questo articolo, pubblicato tempo fa sempre in riferimento ad un altro pericolosissimo ransomware (cryptolocker), ho spiegato come attivare la "visualizzazione delle estensioni dei file conosciuti" sul nostro computer.

--------------------------------------------------

Impiego molte ore del mio tempo nella stesura di questi articoli che poi pubblico, gratuitamente e a disposizione di tutti, sul mio sito. Con un semplice "Mi piace" su Facebook o un "+1" su Google+ mi darai la possibilità di far conoscere il mio lavoro anche ad altre persone che potrebbero averne bisogno. Se hai trovato interessante questo scritto condividilo sui tuoi social network preferiti o invia il link di questa pagina ai tuoi amici.

A te non costa nulla e per me è motivo di grande soddisfazione!
Ti ringrazio per l'apprezzamento



Studio Nassisi - Copyright 2010-2020. All rights reserved.
Torna ai contenuti | Torna al menu