Si sta facendo un gran parlare, nelle ultime ore, di un malware appositamente sviluppato per infettare gli utenti di Facebook e di Google Chrome. In realtà, al netto dei titoli sensazionalistici che ci è capitato di leggere, non è nulla di diverso rispetto a quanto già accaduto nei mesi scorsi.
Il malware, che sarebbe stato realizzato da un team di sviluppatori turchi, utilizza un cliché già noto: l’iscritto a Facebook vedrà arrivare un messaggio proveniente da un amico col quale viene invitato a visionare un video. Cliccando sul link, si verrà reindirizzati verso una pagina web esterna al social network sul quale è presente la frase “per guardare il video installa l’estensione“. Un comportamento del genere dovrebbe già insospettire: se si possono visualizzare i video di YouTube, quale estensione dovrebbe essere installata? E poi, il messaggio circa la mancanza di un plugin non dovrebbe essere certo restituito dal sito web quanto dal browser: tutte le più recenti versioni dei browser, infatti, mostrano un’indicazione inequivocabile sull’identità di un’estensione non installata o non abilitata.
Secondo le prime stime, il malware per Facebook sarebbe stato pensato per infettare gli utenti di Google Chrome. L’estensione proposta, infatti, non è altro che un plugin appositamente sviluppato per il browser del colosso di Mountain View. Una volta autorizzata l’installazione dell’estensione, questa provvederà ad “impadronirsi” dell’account Facebook del malcapitato iniziando a sua volta ad inviare messaggi a tutti gli amici.
Il malware, stando a quanto riferito, sarebbe in grado di sottrarre le credenziali d’accesso dell’utente e di monitorare l’utilizzo di servizi di online banking inviando a terzi nomi utente e password.
In appena tre giorni di attività, oltre 550.000 persone avrebbero già cliccato sul link facente riferimento al sito web utilizzato per distribuire l’infezione. Non è però dato sapere quante macchine siano state realmente infettate.
Va detto che in queste situazioni, comunque, basta soltanto un po´ di attenzione per scongiurare qualunque rischio: perché un amico dovrebbe fare riferimento ad un sito web sconosciuto per distribuire un video? Perché non è stata utilizzata una normale pagina Facebook? Perché viene richiesta (con un messaggio non-standard) l’installazione di componenti aggiuntivi?
Nelle scorse settimane si era già diffuso un malware analogo su Facebook: in questo caso il malware veniva presentato come un aggiornamento per i principali browser oppure per il noto software antivirus F-Secure. Per destare minori sospetti, inoltre, l’eseguibile del malware era stato firmato digitalmente utilizzando un certificato che agli occhi di Windows appariva valido. Il software dannoso veniva installato sotto forma di estensione per Google Chrome e per Mozilla Firefox.
Il consiglio migliore è quello di riflettere prima di autorizzare l’installazione di qualunque programma od estensione (in caso di dubbi e qualora l’antivirus installato non “proferisca parola” c’è sempre la possibilità di effettuare una scansione rapida con oltre 40 motori ricorrendo al servizio VirusTotal). Il browser e le estensioni (quelle legittime…), inoltre, vanno costantemente tenuti aggiornati in modo da scongiurare l’installazione automatica di elementi dannosi (drive-by download).