Uno dei mezzi più diffusi in Rete per effettuare attacchi di phishing è quello di mettere online pagine Web e siti il cui aspetto è molto simile a quello di portali di grande successo, come ad esempio Facebook.
In queste ore arrivano da più parti segnalazioni che un sito Web (http://geteasy.be/policedeed/ - non abbiamo linkato l'indirizzo per evitare di cliccarci sopra durante la lettura), in cui molti utenti si sono imbattuti durante la navigazione Internet, risulta essere un fake di Facebook. Basta infatti osservare la barra degli indirizzi del browser per accorgersi subito che non si tratta di una pagina del noto social network, in quanto, se così fosse, l'URL di questa avrebbe come dominio facebook.com. Inoltre, la pagina è in lingua inglese, mentre quelle di Facebook sono localizzate in base alla nazione di provenienza e questa dovrebbe essere pertanto in italiano.
Il pericolo però arriva da un form, ovviamente fasullo, in cui dovrebbe essere presente un video di YouTube riguardante la polizia. A questo punto scatta la trappola. Compare infatti un messaggio che avverte che per poter riprodurre il filmato è richiesta l’installazione di un aggiornamento per “Youtube Player” e invita a cliccare sul pulsante “Install”. Non fatelo! Al posto del fantomatico aggiornamento viene invece installato un malware.
MatrixTeo, uno dei moderatori del forum di WinTricks, ha scoperto che viene installato un componente aggiuntivo in base al browser utilizzato. In particolare su Firefox viene scaricata l'estensione "YouTube Extension"e al riavvio del browser viene aperto un video riguardante la polizia. Secondo MatrixTeo nel file .xpi (l'estensione per Firefox) sono presenti delle routine Javascript che iniettano codice nelle pagine che si vanno a visitare in modo da dirottare verso un'altra destinazione i dati inviati e ricevuti dal browser.
Per rendere più credibile la pagina, immediatamente sotto il form del video sono presenti finti commenti e a destra i suggerimenti che compaiono tipicamente sul social network. La raccomandazione, in questo caso come in altri, è sempre la stessa: facciamo molta attenzione alle pagine Web che stiamo visitando (basta dare un’occhiata all’URL) e diffidiamo quando ci vengono proposti aggiornamenti o plug-in per riprodurre contenuti multimediali.
Aggiornamento:
VincenzoGTA, anche lui moderatore del forum di WinTricks, ha approfondito l'argomento e ci ha inviato alcuni screenshot e nuovi dettagli. Eccoli di seguito:
Una volta giunto sul sito incriminato, viene chiesto all'utente di installare un aggiornamento del "Youtube PREMIUM Player", che è in realtà è un pericoloso add-on per Firefox/Chrome e altri browser. Cliccando sul link presente nella pagina, viene scaricata l'estensione youtube.xpi che in realtà è il malware TROJ_REDIR.CU.
Effettuata l'installazione dell'estensione nel browser, il virus si occupa di inviare informazioni sensibili dell'utente a server remoti.
