Succede da qualche mese, ma la notizia è stata diffusa solo adesso. I cyber-criminali possono usare diverse strategie per combinare più servizi di Internet allo scopo di far credere alle vittime di navigare su un sito affidabile, che in realtà è invece l’inizio di un’infezione pericolosa.

Tutto parte da Facebook. L’utente registrato al social network riceve un messaggio privato da parte di un amico, che lo invita a cliccare su un link per vedere un video che lo interessa. La vittima, non rendendosi conto di aver ricevuto un falso messaggio, non ha dubbi sulla veridicità del link, ma anche se li avesse (e qui sta la novità) si renderebbe conto di stare per cliccare su un link del servizio Shared Items di Google.

In pratica, viene sfruttato il portale di Google che permette di condividere con gli amici e i conoscenti notizie e informazioni di cui si è a conoscenza per dare l’impressione di stare per visitare un link sicuro, in cui si troverà il video.

In questo modo, la vittima non ha più titubanze e visiterà il sito pensando che è tutto sicuro.

A quanto pare, i criminali hanno registrato diversi account anche sul servizio di Google per rendere la truffa ancora meno evidente. Il video in questione ovviamente non è reale, ma richiede il download di un particolare codec, necessario per la riproduzione del contenuto. Il codec naturalmente non esiste; si tratta in realtà di un trojan pericoloso.

Fortinet, pioniere e leader nella fornitura di soluzioni UTM (unified threat management), ha scoperto un worm che ha come obiettivo gli utenti Facebook sfruttando Google Reader (un’applicazione che permette agli utenti di condividere le notizie più interessanti con la propria rete sociale), dando così agli utenti-vittime la sensazione che il contenuto sia ospitato in Google e che quindi sia sicuro e inducendoli a scaricare un codec. In che modo? Un video è distribuito attraverso il worm di Facebook e attraverso una strategia di social engineering si è reindirizzati da Facebook a Google Reader.

Fortinet ha informato sia Facebook che Google e ha diffuso l’advisory in allegato e disponibile al seguente indirizzo: http://fortiguardcenter.com/advisory/FGA-2008-26.html

Guillaume Lovet, Senior Manager at Fortinet’s FortiGuard Global Security Research Team, segnala le 5 successive mosse per non diventare vittime di questo attacco dagli effetti devastanti:
1. Fare attenzione ai messaggi contenenti link. Dovrebbero far scattare subito un campanello d’allarme.
2. In tal caso, fermarsi un momento e chiedersi se il messaggio che si sta leggendo proviene davvero da chi dichiarato. È molto semplice capire se si conosce la persona perché tutti hanno una propria “voce” digitale, uno stile di scrittura che nessun worm è in grado di imitare. Per ora.
3. Molte tattiche di ingegneria sociale usate dai siti di social networking cercano di invogliare la vittima a guardare un filmato. Ricordare sempre che i video online hanno un formato molto comune (es. flash) per cui è possibile vederli su youtube o dailymotion senza bisogno di plug-in o codec aggiuntivi. Molto importante: i codec che si presentano sotto forma di file di set-up eseguibili sono, in un contesto del genere, dei Trojan.
4. Non navigare in rete con un sistema non aggiornato dal punto di vista della sicurezza. Spesso questi end-point dannosi contengono exploit del browser che spingono letteralmente il Trojan sul sistema dell’utente senza che questo se ne accorga né interagisca, cosa che non succede se il browser è aggiornato. A questo scopo può essere utile alternare i browser, riducendo così la superficie degli exploit.
5. Se non si è riusciti a seguire i consigli precedenti o se il sito dannoso ha sfruttato una vulnerabilità senza patch del browser, gli strumenti antivirus possono essere la salvezza. Una combinazione di antivirus e filtro dei contenuti Web possono creare una protezione più efficace, come quando il sito dannoso è inserito in una blacklist del filtro web; l’antivirus potrebbe non essere in grado di far fallire l’attacco ma, vista la crescente raffinatezza delle minacce, è sempre bene averli entrambi.

Era già apparso lo scorso luglio tra gli utenti Facebook, indirizzandoli verso pagine contenenti allettanti video che però non potevano essere visualizzati senza prima aver scaricato un falso codec (in realtà un vero e proprio trojan). Si trattava del worm Koobface, ora, secondo quanto rilevato da Fortinet, reincarnato in una nuova versione in grado di indirizzare le vittime verso pagine apparentemente facenti parte di Google Reader al cui interno è presente il tradizionale video tentatore. Mentre il motore di ricerca è al lavoro per risolvere il problema, i cybercriminali hanno iniziato ad attirare le vittime anche verso false pagine di Google Picasa.

Poiché Google Reader permette di condividere la notizie più interessanti con la comunità online, alcuni cybercriminali hanno registrato nuovi account Google Reader (manualmente, attraverso tecniche di phishing o violando i CHAPTCHA), allo scopo di diffondere link in grado di indirizzare le vittime verso siti malevoli, complice un frame particolarmente attraente presente all’interno del messaggio. In realtà, come è accaduto con Facebook, il filmato risulta impossibile da visualizzare a causa della mancanza del codec appropriato; l’invito a scaricare il codice necessario alla visualizzazione in realtà installa nel computer il trojan W32/Zlob.NKX!tr.dldr.

La scelta di utilizzare Google Reader come specchietto per le allodole nasce dal desiderio di trasmettere alla vittima la sensazione di accedere ad un sito sicuro, in quanto ospitato da un portale del calibro di Google. L’effetto sicurezza, combinato con l’idea che si tratti di un “messaggio amico”, offre una combinazione vincente per una massiccia diffusione del trojan. Fortinet avrebbe già notificato il problema al motore di ricerca, il quale sarebbe al lavoro sulla soluzione: «stiamo analizzando i resoconti che abbiamo ricevuto» ha dichiarato un portavoce di Google, «e siamo impegnati nel chiudere ogni account che ha violato le nostre linee guida».