skip to main | skip to sidebar
5 commenti

Allerta per immagini infette su Facebook e Linked: bloccano Windows e chiedono riscatto

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2016/11/28 12:35.

Oltre alla preoccupazione per il video che paralizza gli iPhone (ma che è innocuo a parte il disagio del riavvio) circola un allarme molto fondato a proposito un’immagine in grado di infettare alcuni tipi di computer anche attraverso Facebook e LinkedIn, che di solito sono ambienti abbastanza sicuri (almeno a livello informatico).

La società di sicurezza informatica Checkpoint segnala infatti che vengono diffuse su Facebook e LinkedIn immagini che trasmettono il ransomware Locky. La trappola funziona così: l’aggressore manda alla vittima un’immagine qualsiasi in formato JPG sotto forma di allegato, usando per esempio Facebook Messenger; la vittima clicca sul link all’allegato per vedere l’immagine e il suo computer chiede di salvare l’immagine stessa, che però viene registrata sul computer della vittima con l’estensione .HTA invece di .JPG. Questa estensione modificata è la chiave della trappola, perché trasforma l’immagine in istruzioni eseguibili.

Se la vittima usa Windows e fa doppio clic sull’immagine scaricata, partono appunto le istruzioni che attivano Locky, e il danno è fatto: i dati della vittima vengono bloccati da un codice complicatissimo che l’aggressore rilascerà alla vittima solo dietro pagamento di un riscatto.

Checkpoint ha pubblicato un video che mostra l’attacco all’opera:



L’attacco è particolarmente pericoloso perché Facebook e LinkedIn sono considerati siti sicuri non solo dagli utenti ma anche dalla maggior parte dei software di sicurezza, che quindi abbassano le proprie difese. Ora spetta a questi siti correggere la vulnerabilità; nel frattempo chi usa Windows farebbe bene a non fidarsi di immagini ricevute tramite Facebook e LinkedIn da sconosciuti.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (5)
Questo significa che Facebook non implementa un meccanismo di verifica dell'estensione del file server-side? Oppure che il file infettato sfrutta una qualche falla per "apparire" a Facebook come un normale .jpg?
Com'è altrimenti possibile che un file .jpg venga salvato effettivamente con una estensione diversa?
Ipotesi sul funzionamento.
Il file è composto da 2 parti, l'immagine jpg e il file HTA. Quando l'estensione è jpg i programmi aprono l'immagine e ignorano il resto.
Quando l'estensione è HTA il programmino viene eseguito, su Windows solamente credo, e per come è stato ideato il sistema può scrivere nel registro.

Questo trucco è stato usato precedentemente per far firmare elettronicamente dei documenti con l'inganno giocando con l'estensione DOC e PDF.
Ok, mi sembra plausibile.
Però in questo caso come avviene il cambio di estensione da .jpg a .hta?
Mi son guardato il video, vedo che viene caricato un file jpg ma che quando lo si scarica è un hta. Non sono riuscito a capire dove sia avvenuto il cambiamento.
Vabè, l'attaccante invia un file con l'header e l'estensione di un'immagine, la vittima deve salvare il file con estensione .HTA, ed avviare un file con l'icona di un eseguibile...
Insomma, ci vuole un po' di impegno per cascarci. Ciò detto, facebook è pieno di gente che si impegna.