Koobface, anagramma di Facebook, è un noto worm che prende di mira gli utenti del social network fondato da Mark Zuckerberg. Le prime apparizioni del malware risalgono addirittura al 2008 ed ancor’oggi si tratta di una minaccia piuttosto diffusa (ved., ad esempio, il nostro articolo risalente ad oltre un anno fa). Koobface si diffonde inviando messaggi su Facebook contenenti richieste di amicizia oppure l’invito a visitare siti web esterni. Di solito, l’utente viene persuaso a visualizzare un sito web maligno mediante l’esposizione di messaggi quali “Guarda come sei buffo qui…“. Sul sito web malevolo, poi, viene proposto il download e l’installazione di un malware che viene presentato come aggiornamento per Adobe Flash Player o per altri componenti software piuttosto diffusi.
I vertici di Facebook, dopo aver condotto una lunga serie di indagini, hanno dichiarato di essere risaliti all’identità del team che ha sviluppato il worm Koobface. Secondo i tecnici del social network in blu cinque sarebbero i criminali informatici responsabili delle infezioni e tutti loro vivrebbero a St.Petersburg, in Russia. Dalle investigazioni sarebbe emerso che gli aggressori disporrebbero addirittura di profili personali su diversi social network: negli ultimi mesi hanno anche trascorso dei periodi di vacanza in residenze lussuose a Montecarlo, Bali ed in Turchia.
Un’occupazione fruttuosa, evidentemente, quella dei cinque russi: dietro al worm Koobface, infatti, vi sarebbero grandi interessi economici. Stando alle stime di Kaspersky Labs, la rete “botnet” alla quale venivano connessi i personal computer infettati comprende tra 400.000 e 800.000 sistemi in tutto il mondo.
Al New York Times, i responsabili di Facebook anticipato l’identità della gang russa con tanto di pseudonimi, nomi e cognomi. Per il momento, le autorità non hanno ancora confermato l’avvio di indagini nei confronti dei cinque russi.
Jan Drömer, un ricercatore indipendente, e Dirk Kollberg, membro dei laboratori di Sophos, hanno nel frattempo pubblicato una dettagliatissima analisi delle persone che hanno tenuto, nell’ombra, le redini di “Koobface“. Le indagini sarebbero state svolte nel periodo compreso tra ottobre 2009 e febbraio 2010 ed avrebbero fatto emergere un quadro ben tracciato delle attività dei criminali ideatori del worm. La ricerca condotta da Sophos è consultabile a questo indirizzo e, come viene precisato, è stata già utilizzata da alcune autorità per approfondire le indagini.
L’immagine in alto è tratta dal blog di Sophos.