BitDefender ha annunciato la scoperta di un nuovo malware in grado di rubare credenziali di accesso ed altre informazioni appartenenti all’utente. La novità sta nel fatto che “Trojan.PWS.ChromeInject.A“, questo il nome con cui è stata battezzata la nuova minaccia, prende di mira esclusivamente gli utenti del browser opensource Mozilla Firefox.
Il malware si presenta come una falsa estensione per Firefox: una volta installato sul personal computer, il componente dannoso viene salvato nella cartella dei plugin del browser ed eseguito automaticamente ad ogni avvio del programma.
Il trojan è in grado di raccogliere i dati inviati da parte dell’utente (ad esempio nomi utente e password) a più di 100 istituti bancari che offrono servizi di “online banking” per la gestione del proprio conto corrente o l’effettuazione di operazioni finanziarie via Internet.
Secondo le indagini svolte dalla software house rumena BitDefender, il trojan invierebbe tutti i dati raccolti ad un indirizzo e-mail russo. Sono russi anche il dominio e il provider utilizzati dall’aggressore per diffondere la minaccia.
Facendo riferimento a questa pagina, è possibile consultare l’elenco degli istituti di credito inseriti nel database del trojan. Ciò significa che se un utente, cliente di una delle banche indicate, dovesse utilizzare le proprie credenziali di accesso per gestire un conto corrente attivato presso uno degli istituti presenti in lista, nel caso in cui il suo sistema fosse stato infettato dal trojan quest’ultimo sarebbe in grado di sottrarre nome utente e password trasmettendoli allo sviluppatore del malware.
Il trojan tenta di indurre l’utente ad effettuarne l’installazione presentandosi come “Greasemonkey“, una conosciutissima estensione per Firefox che permette all’utente di modificare le pagine web grazie all’uso di alcuni script. Potremmo parlare, in questo caso, di un “rogue add-on” (ved. questa pagina).
E’ bene ricordare di non installare mai estensioni per Firefox da siti web che non siano direttamente gestiti da Mozilla. I file presenti sul sito ufficiale vengono infatti sottoposti a rigorosi controlli.
Per maggiori informazioni, potete fare riferimento anche a questa discussione.