Il taccuino di Armando Leotta Rotating Header Image

marzo 7th, 2010:

Nuova variante del worm koobface?

Messaggio koobface (via threatfile research blog)

Già dal dicembre del 2008 abbiamo imparato a doverci difendere dal worm koobface che tra bufale e realtà,  si diffondeva attraverso i social network, facebook compreso.

Lo  scorso marzo veniva segnalata una nuova variante particolarmente raffinata, evoluta ed invasiva (worm_koobface.az). Si riceve un messaggio (da contatti) contenente un link ad un video. Una volta giunti sul link esterno viene visualizzato nome e foto di un vostro contatto di uno dei socialnetwork in cui si è registrati (al momento la variante sembra diffondersi prevalentemente su myspace, bebo e facebook). L’utente, riconoscendo il nome e la foto del proprio contatto, prova a visionare il video. A questo punto un popup stile flash richiede di installare un “aggiornamento” (il codice malevolo) per potere visionare il video.

Ancora una volta una componente di social engeneering diventa determinante per la diffusione del malware.

Ricordo inoltre che nell’ottobre del 2009 i laboratori di ricerca di trendmicro riportavano allarmati una nuova evoluzione della botnet koobface che coinvolge greader, twitter, facebook e myspace solo a citare alcune delle piattaforme interessate.

Falso aggiornamento flash plaer

Falso aggiornamento Flash player (via Threatfire research blog)

Da contatti mi arrivano segnalazioni preoccupanti e in rete non mancano le testimonianze video e su twitter si susseguono le segnalazioni: tutto fa pensare ad una nuova variante.

Come consigli, oltre a tenere sempre opportunamente aggiornato il proprio antivirus, non installate mai aggiornamenti di componenti al di fuori dei consueti canali consolidati.

Finchè non viene confermata, identificata ed isolata questa nuova variante vi consiglio inoltre di cancellare i cookie del vostro browser, utili al malware per capire su quali servizi e quali social network siete profilati (e pertanto appetibili).