C’è in circolazione, già dallo scorso anno, un trojan che sembra sia stato un po’ sottovalutato. Come spiegano i tecnici di WebRoot, società da anni attiva nel campo della sicurezza informatica, il malware è piuttosto interessante perché bersaglia espressamente gli utenti di Mozilla Firefox.
Il browser di Mozilla consente, come noto, di memorizzare le credenziali d’accesso utilizzate per l’effettuazione del login sui vari siti web consultati frequentemente. Ricorrendo al menù Strumenti, Opzioni, cliccando sulla scheda Sicurezza quindi disabilitando la casella Ricorda le password dei siti, gli utenti non interessati alla funzionalità per la memorizzazione di username e password personali possono disattivarla completamente.
Il trojan scoperto da WebRoot modifica un file (nsLoginManagerPrompter.js
) alla base del funzionamento di Firefox aggiungendo alcune righe di testo ed eliminandone delle altre. Nella configurazione predefinita, Firefox chiede sempre all’utente se desideri o meno memorizzare le proprie credenziali d’accesso. Sui sistemi infettati dal malware – battezzato “PWS-Nslog” – il messaggio che Firefox espone di default non viene più proposto e tutte le password vengono automaticamente salvate.
Il malware, una volta infettato il sistema, provvede poi ad installare un vecchio (ma benigno) ed oramai superato controllo ActiveX (Microsoft Internet Transfer Control DLL, msinet.ocx
) nella directory di sistema di Windows. Tale controllo ActiveX viene utilizzato dal trojan per inviare le credeziali sottratte da Mozilla Firefox verso un server remoto.
Contemporaneamente, viene “scandagliato” il contenuto del registro di sistema alla ricerca di tutte le possibili password.
Il codice nocivo, come osserva WebRoot, sembra essere stato messo a punto da un iraniano che sembra aver lasciato anche una traccia del suo operato all’interno del malware (sembra sia presente un riferimento al suo indirizzo e-mail, un account creato sul servizio GMail di Google).