• Il worm Koobface torna a colpire

    hidden_camera.png

    Ricordate Koobface, il malware che attaccava gli utenti di Facebook per mezzo di video natalizi? Sembra proprio essere tornato, questa volta però usa le email come mezzo di diffusione, così come riportato dai ricercatori della ESET.

    In particolare viene proposto all’utente materiale a sfondo erotico, per la visione del quale però è necessario scaricare un plugin: inutile dire che invece del codec video si avvia il download del malware stesso, il quale dopo aver infettato l’interessato comincerà a inviare nuove email verso i contatti del malcapitato.

    Per rendere più difficile il lavoro dei ricercatori, il malware tenterà di contagiare l’utente solo la prima volta in cui si tenta di vedere il video: nei tentativi seguenti, infatti, l’ignaro utente si troverà di fronte un errore 404 Page Not Found; secondo ESET questo comportamento rende più difficile lo studio del malware e delle sue differenti versioni.

    Koobface hidden camera

    Se ricevete un’email di questo tipo con un link che punta a un IP i cui ultimi tre ottetti sono 169.144.218 con porta 167 fate attenzione, quasi sicuramente si tratta di un sito creato per diffondere il worm Koobface.

    Quasi superflui i consigli dell’esperto di sicurezza David Harley, il quale invita ad aggiornare costantemente i propri software antivirus e a prestare attenzione al contenuto delle email ricevute sul noto social network: dopotutto gli utenti sono già abituati a confrontarsi col malware in questione, e sicuramente avranno imparato ad agire per il meglio.

    Tags:

    Se vuoi aggiornamenti su Il worm Koobface torna a colpire inserisci la tua e-mail nel box qui sotto:


    Ho letto e acconsento l'informativa sulla privacy

    Si No

    Acconsento al trattamento dei dati personali di cui al punto 3 dell'informativa sulla privacy

    Si No

    Commenti

    1. Nazareno dice:

      Mi chiedo quale tecnica usino per capire che un utente ha già scaricato il “plugin”. Secondo me vi sono due vie percorribili, la prima riguarda il matching dell’IP dal log degli accessi sul server Web, la seconda la presenza di determinate informazioni nei cookie. Banale dire che entrambi i metodi sono facilmente aggirabili (nel primo caso mi disconnetto e cambio IP, oppure uso un proxy, nel secondo svuoto la completamente la cache del browser). I ricercatori potranno quindi gioire, la “furbata” del worm in realtà è una “stupidata” :D

    2. Matteo dice:

      In effetti quella del tracciamento è la prima cosa che ho pensato anche io… ma il fatto più strano è che gli stessi ricercatori ESET si stiano preoccupando così tanto per una sciocchezza di questo tipo!
      Magari non tutti cancellano i cookie, e suppongo che se il sistema implementato è davvero questo si tratta di cookie con scadenze paragonabili a quelle di Google :D , però se uno della ESET vuole metterci le mani spero bene che sappia come fare!
      O forse ci sfugge qualcosa…

    Commenta

    Your email address will not be published. Required fields are marked *